华为 职业 认证 通过 者 权益 


通过 任 一 项 华为 职业 认证 ， 您 即 可 在 华为 在 线 学 习 网 站 (hjjp.VJecm?me.hnwawe/comWcD) 享有 如 下 特权 : 
e 1、 华 为 E-learning 课程 学 习 
o AS: 所 有 华为 职业 认证 E-Learning 课 程 ， 扩 展 您 在 其 他 技术 领域 的 技术 知识 
方式 : 请 提交 您 的 “华为 账号 ”和 注册 账号 的 “email 地 址 ”到 Learning@huawei.com FRIN 
华为 培训 教材 下 载 
AS: 华为 职业 认证 培训 教材 + 华为 产品 技术 培训 教材 ， 覆 盖 企 业 网 络 、 存 储 、 安 全 等 诸多 领域 
方式 : SREAGZAS TMS, NEA “ERMAR ， 在 具体 课程 页 面 即 可 下 载 教 屋 
华为 在 线 公开 课 ([LVC) 优 先 参 与 
AS: 企业 网 络 、UC&C、 安 全 、 存 储 等 诸多 领域 的 职业 认证 课程 ， 华 为 讲师 授课 痢 邢 班 人 数 有 限 
方式 : 开 班 计划 及 参与 方式 请 详 见 LVC 排 期 : 
http://support.huawei.com/learning/NavigationAction!createNavis*navi[id]e 16 
学 习 工 具 eNSP 
a eNSP (Enterprise Network Simulation Platform), 是 由 华为 提供 的 免费 的 、 可 扩展 的 、 图 形 化 网 络 仿 
真 工具 。 主 要 对 企业 网 路 由 器 和 交换 机 进行 硬件 模拟 ， 完 美 呈现 真实 而 和 鱼 宠 器 ; 同时 也 支持 大 型 网 络 
模拟 ， 让 大 家 在 没有 真实 设备 的 情况 下 也 能 够 进行 实验 测试 。 
另外 , 华为 建立 了 知识 分 享 平台 华为 认证 论坛 。 您 可 以 在 线 与 华为 技术 专家 交流 技术 ， 与 其 他 考生 分 享 考试 
经 验 ， 一 起 学 习 华 为 产品 技术 。_( http://support.huawei.com7Seemmunity/bbs/list 2247.html ) 
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本 手册 用 于 指导 学 员 学 习 华 为 安全 产品 的 配置 和 部 署 拉 术 ,学 员 可 以 通过 教材 的 实 
验 说 明 ， 掌 握 本 手册 中 的 实验 内 容 。 


1.1 适用 范围 


适用 于 华为 系统 安全 工程 师 培训 安全 课程 中 涉及 的 实验 内 容 。 
适用 防火 墙 系列 包括 : 
e USG2200&5100 V300R001 


1.2 防火 墙 产 品 描述 


1.2.1 USG2200 产品 描述 


。 机箱 尺寸 


USG2200 由 一 体 化 机 箱 、 扩 展 接 口 卡 组 成 。 其 一 体 化 机 箱 尺 寸 为 442mm x 414mm 
x43.6mm ( 宽 X 深 Xx 高 )， 可 以 安装 在 19 英寸 标准 机 柜 中 。 


e 前 面板 
USG2200 的 电 产 和 风扇 采用 内 置式 ， 因 此 从 外 观 上 看 不 到 电源 和 风扇 。USG2200 
包括 USG2210、USG2220、USG2230、USG2250 四 种 型 号 。 这 四 种 型 号 都 支持 交流 机 型 ， 筷 
其 中 USG2250 还 有 支持 直流 电源 的 机 型 。 如 下 图 所 示 。 


USG2200 前 面板 (直流 机 型 ) 


1. 交流 /直流 电源 插座 2. 交流 /直流 电源 开关 3. 系统 复位 键 
4. Console 接口 5. 闪存 接口 6. USB2.0 接口 
LGEomogH [ON 





e 后 面板 
USG2210. USG2220. USG2230. USG2250 后 面板 布局 相同 ， 如 下 图 所 示 ， 左 侧 和 
中 间 是 4 个 MIC t, AWA A FIC FRE. 
USG2200 后 面板 


| ABRE ” | 8 接地 端子 | 
。 模 位 分 布 和 排列 顺序 
FICS 可 搬入 一 个 DFIC 接口 卡 。 如 下 图 所 示 。 
USG2200 槽 位 编号 及 排列 顺序 示意 图 


MIC3 MICA FICG 








MIC MIC? FICS 


提示 : MICI 和 MICS ps ffr n] EU AP MIC 接口 卡 或 插入 一 个 DMIC 接口 卡 ; 
MIC2 和 MICA 两 个 模 位 可 以 搬入 两 个 MIC 接口 卡 或 插入 一 个 DMIC 接口 卡 ; 


1.2.2 USG5120 产品 描述 


e HRT 
USG5120 由 一 体 化 机 箱 、 扩 展 接 口 卡 组 成 。 其 一 体 化 机 箱 尺寸 为 442mm x 414mm 
X86.1mm ( 宽 X 深 X 高 )， 可 以 安装 在 19 英寸 标准 机 柜 中 。 
e 前 面板 
USG5120 有 交流 和 直流 两 种 机 型 。USG5120 的 前 面板 如 下 图 所 示 。 
USG5120 有 前 面板 (直流 机 型 ) 
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10 11 


23 4 
4. 闪 存 接 口 6. 10/100/1000M 以 太 网 接口 


7. 10/100/1000M 以 太 网 品 8°GE Combo 接口 2 9. GE Combo 接口 3 





10. 卡 扣 插 孔 11. 交流 /直流 电源 插座 12. 交流 /直流 电源 开关 


13. 防 静 电 手 腕 带 插 孔 14. 防 尘 面 板 
e 后 面板 
9 T 8 1 3 2 4 





3. MIC3 Fei f 
6. FIC6/DFIC6 1i $8 


9. 槽 位 标识 


2. MIC2/DMIC? 插 槽 
5. FIC5/DFICS 插 槽 
8. FICS dfi f 


1. MICI/DMIC 1 插 
4. MICA FERS 
7. FIC7 ji 8 
10. 接 地 端子 


e 槽 位 分 布 和 排列 顺序 
USG5120 的 FICS 和 FIC6 槽 位 除了 可 插入 一 个 DFC 接口 卡 外 , 还 可 只 在 下 半 部 分 插 


入 一 个 FIC 接口 卡 。 此 时 ， 为 了 防 尘 需要 在 DFIC 槽 位 的 上 半 部 分 安装 一 个 假 面 概 ， 以 
封闭 后 面板 。FIC7 可 插入 一 个 DFC 接口 卡 。 如 下 图 所 示 。 


UsG5120 槽 位 编号 及 排列 顺序 示意 图 
Q 


FIC6 


1.2.3 USG5150 产品 描述 


e 机箱 尺 寸 
USG5150 由 一 体 化 机 箱 、 扩 展 接口 卡 组 成 。 其 一 体 化 机 箱 尺寸 为 442mm X414mm 
x130.5mm ( 宽 X 深 Xx 高 )， 可 以 安装 在 19 英寸 标准 机 柜 中 。 





e ”前 面板 
USG5150 的 电源 和 风 届 模块 均 可 热 插 拔 ,h 昔 表面 板 如 下 图 所 示 。 
USG5150 前 面板 (直流 机 型 ) ae 
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4. Console 接口 5. 闪存 接口 6. USB2.0 接口 
7. GE Combo 接口 0 8. GE Combo 接口 1 
10. GE Combo 接口 3 11. 风扇 框 


13. 防 尘 挡 板 14. 交流 /直流 电源 模块 1 








11 9 T 6 8 
1. MIC1/DMIC1 fif | 2. MIC2/DMIC2 $i 
5. FIC5/DFIC5 fil 6. FIC6/DFIC6 插 模 


7. FIC7/DFIC7 fil 8. FIC8/DFIC8 插 模 
| loFClomH |. Bet 0 — | | 


e 槽 位 分 布 和 排列 顺序 
USG5150 的 FIC5、FIC6、FIC7 和 和 FICS 槽 位 除了 可 插入 一 个 DFIC 接口 卡 外 ， 还 可 只 
在 下 半 部 分 插入 一 个 FIC REDI HRS HERI, 为 了 防 尘 需要 在 DFC 槽 位 的 上 半 部 分 安装 一 
个 假 面板 ， 以 封闭 后 面板 。 如 路 图 所 示 。 
USG5150 权 位 编写 双 排 列 顺序 示意 图 








FICS FIC6 


提示 : FICO 和 FIC10 PA TH n] EAD FIC 接口 卡 ， 但 不 可 以 使 用 DFIC 接口 卡 ; 
FICO 和 FIC10 两 个 覃 位 不 支持 1GE 接口 卡 、4GE 接口 卡 、1GPON 接口 卡 、16POTS 
接口 卡 和 32POTS 接口 卡 ; 


1.2.4 物理 接口 编号 方法 


设备 物理 接口 采用 的 编号 原则 如 下 


各 接口 按照 从 下 到 上 ， 从 左 到 右 的 顺序 依次 编号 。 物 理 接 口 编号 为 interface-type 
X/0/Y, interface-type 为 接口 类 型 (如 Ethernet 等 )，X 表示 覃 位 号 ，0 为 板 卡 号 ， 目 前 
支持 的 接口 卡 没 有 子 卡 ， 所 以 此 位 均 为 0。Y 表示 接口 序号 。 主 板 的 槽 位 号 为 0。 

例如 , USG 的 2 号 槽 位 安装 了 5FSW 接口 卡 , 那么 各 接口 的 编号 为 : Ethernet2/0/0、 
Ethernet2/0/1. Ethernet2/0/2. Ethernet2/0/3. Ethernet2/0/4。 


1.3 终端 安全 产品 描述 
1.3.1 TSM 产品 概述 


TSM， 终端 安全 管理 (Terminal Security Management)。 为 了 解决 企业 内 部 网 络 管 
理 失 控 的 问题 ， 保 障 企 业内 部 网 络 的 畅通 、 终 端 主机 的 安全 和 公司 信息 数据 的 安全 ， 实 
现 企业 网 络 安全 建设 的 目标 ， 华 为 科技 有 限 公司 推出 TSM 这 款 产 品 ， 该 产品 为 企业 提供 
整合 的 内 部 网 络 安全 解决 方案 ， 实 现 从 终端 到 业务 系统 的 控制 和 管理 功能 。 

TSM 基于 TSM 代理 为 企业 提供 安全 接 入 控制 、 终 端 安全 管理 补丁 管理 、 终 端 用 户 
的 行为 管理 、 软 件 分 发 和 资产 管理 六 大 功能 。 其 核心 思想 是 建立 网 络 准 入 控制 机 制 ， 基 
本 要 素 是 安全 检查 、 访 问 控制 和 安全 修复 。 有 效 控制 网 络 日 渐 增 多 的 接 入 点 ， 包 括 企 业 
员工 、 外 部 访客 、 合 作 伙 伴 和 临时 雇员 等 对 网 络 的 访 占 ， 发 现 并 隔离 带 有 威胁 的 终端 主 
机 ， 提 升 网 络 防御 安全 威胁 的 能 


1.3.2 TSM 系统 部 署 


TSM 包括 TSM 管理 中 心 、TSM 管理 器 SATSN 控制 器 ` 扫 描 器 、 安 全 接 入 控制 网 关 、802. 1x 
交换 机 和 TSM 代理 几 个 部 件 。 

TSM 管理 中 心 

TSM 管理 中 心 是 为 分 级 式 组 网 志 门 设立 的 组 件 ,主要 负责 为 TSM 管理 器 分 配 License, 
分 配 Microsoft Windows 操作 系统 补 宁 模板 、 分 配 策略 模板 、 分 配 软 件 分 发 任务 。 

TSM 管理 中 心 的 具体 功能 有 % 管理 TSM 管理 器 ， 管 理 TSM 管理 器 的 License， 管 理 
策略 模板 ， 管 理 Microsoft Windows 操作 系统 补丁 ， 管 理 软 件 分 发 任务 。 


TSM 管理 器 
TSM 管理 器 是 TS 多 的 管理 服务 器 ,管理 员 通 过 DE 浏览 器 登录 TSM 管理 器 进行 日 常 维 
护 操作 。 


TSM 管理 器 的 主要 功能 包括 : 系统 配置 , 组 织 人 员 管 理 , 安全 策略 管理 , 补丁 管理 ， 
HFD, APER) AAEE, RREH. 

TSM 控制 器 

TSM 控制 器 是 TSM 的 控制 服务 器 。TSM 控制 器 主要 负责 验证 终端 用 户 的 身份 、 对 终 
端 主 机 进行 安全 检查 ， 以 及 与 准 入 控制 设备 联动 实现 最 小 授权 的 访问 控制 等 。 

TSM 控制 器 的 主要 功能 包括 : 向 TSM 代理、Web Agent 插件 和 Web 客户 端 提供 服务 ， 
与 安全 接 入 控制 网 关联 动 控制 终端 主机 接 入 受 控 网 络 ， 与 支持 802. 1x 的 交换 机 联动 控 
制 终端 主机 接 入 受 控 网 络 。 

扫描 器 

扫 摘 器 的 作用 是 发 现 和 管理 网 络 中 现 有 的 设备 ,尤其 是 已 经 安 儿 TSM 代理 终端 主机 
数量 和 未 安 狗 TSM 代理 的 终端 主机 数量 ， 在 管理 员 制 定 或 调整 TSM 代理 的 部 署 策略 时 作 
为 参考 的 依据 。 


部 署 TSM 代理 是 终端 安全 管理 业务 逐步 推行 的 过 程 ， 按 阶段 分 可 分 为 试点 和 推广 两 
个 阶段 ， 最 终 的 目标 是 实现 终端 安全 业务 全 覆盖 。 在 终端 安全 管理 业务 逐步 推行 的 过 程 
中 ， 管 理 员 重点 关注 的 是 ， 如 何 确保 所 有 的 终端 主机 全 部 安装 TSM 代理， 确保 终端 安全 

` 会 成 为 网 络 安 全 中 最 薄弱 的 环节 。 

扫 摘 器 是 为 了 帮助 管理 员 发 现 没 有 安装 TSM 代理 的 终端 主机 而 开发 的 ,主要 功能 
通过 扫描 任务 发 现 网 络 中 的 设备 ,能 够 识别 已 经 安装 TSM 代 理 的 终端 主机 和 尚未 安装 守 SM 
代理 的 终端 主机 ， 人 允许 管理 员 标 识 需 要 安装 TSM 代理 的 终端 主机 和 不 需要 安装 TSM 代理 
的 终端 主机 ， 支 持 实时 局 动 和 停止 扫 拉 任务， 支持 周期 性 的 扫描 任务 和 一 次 性 的 扫描 任 
务 ， 支 持 按 IP 地 址 段 和 按 ARP 表 两 种 方式 发 现 设 备 ， 在 发 现 新 的 设备 接 入 受 控 网 络 和 
TSM 代理 被 卸载 时 以 告警 邮件 的 方式 提醒 管理 员 ， 支 持 对 设备 进行 分 组 管理 。 

安全 接 入 控制 网 关 

安全 接 入 控制 网 关 用 于 控制 终端 访问 受 控 网 络 的 权限 ， 向 隶属 不 同 角 色 的 终端 用 户 
和 不 同安 全 状况 的 终端 用 户 开 放 不 同 的 权限 。 

安全 接 入 控制 网 关 的 主要 功能 包括 : 根据 TSM 控制 器 反馈 的 信息 开放 终端 用 户 访问 
受 控 网 络 的 权限 ， 防 止 外 部 非 授权 的 终端 用 户 访问 企业 的 受 控 网 络 ， 防 止 内 部 合法 但 不 
安全 的 终端 用 户 访问 企业 的 受 控 网 络 ， 隔 离 连接 到 受 控 网 络 但 没有 进行 安全 认证 的 终端 
用 户 ， 文 持 逃 生 通 道 。 

802.1x 交换 机 

802. 1x 交换 机 的 主要 功能 是 对 终端 主机 进行 接 入 控制 。 通过 端口 控制 技术 , 保证 只 
有 通过 身份 认证 的 终端 主机 才能 接 入 受 控 网 络 ， 防 此 未 经 授权 的 终端 主机 接 入 受 控 网 络 。 

TSM 服务 器 对 应 于 IEEE802. 1x 的 认证 服务 器 系统 ， 用 户 接 入 层 设备 则 实现 
IEEE802. 1x 的 接 入 控制 单元 ，IEEE802. 1x 的 用 户 接 入 系统 集成 在 TSM 代理 中 。 

接 入 控制 单元 的 每 个 物理 端口 内 部 有 受 控 端口 和 非 受 控 端口 等 逻辑 划分 。 非 受 控 端 
口 始终 处 于 双向 连通 状态 ， 主 要 用 来 传递 EAPO0L 协议 帧 ， 可 保证 随时 接收 用 户 接 入 系统 
发 出 的 认证 EAPOL 报 文 。 受 控 端 口上 只 有 在 认证 通过 的 状态 下 才 打 开 ， 用 于 传递 网 络 资源 
和 服务 。 

TSM 代理 

TSM 代理 是 TSM 中 的 一 个 组 件 ， 作 为 TSM 的 客户 端 安装 在 终端 主机 侧 ， 负 责 与 TSM 
管理 器 联动 ， 实 施 管理 员 丰 TSM 党 理 器 定制 的 安全 管理 规则 。 

TSM 代理 根据 安装 过 程 的 不 同 可 以 分 为 需要 依照 安装 同 导 在 终端 主机 安装 的 TSM 代 
理 和 通过 插件 注册 方式 实现 的 Web Agent 插件 。 

TSM 代理 的 主要 功能 包括 : 身份 认证 , 安全 认证 , 资产 管理 ,补丁 管理 , 软件 分 发 ， 
公告 管理 。 


TSM 系统 部 署 组 网 


认证 前 域 
I 1 
ITSM 管 理 器 +TSM 控 制 器 + 。 TSM 控制 器 + 。 ”TSM 控制 器 + 
| 扫描 器 +FTP+ 见 让 数据库 。 FTP+ 主 数据 库 ”FTP+ 镜 像 数据 库 






ARM Eo Jak 


A A A 
认 i | 后 域 M 


PES eal 


1.3.3 TSM 性 能 指标 
B TSM 控制 器 性 能 指标 


介绍 TSM 代理 在 进行 喘 份 认证 和 执行 策略 时 的 性 能 指标 。 


性 能 项 目 性 能 指标 


单 台 TSM 控制 器 支持 的 最 大 终端 用 户 
数 
单 台 TSM 控制 器 平均 每 分 钟 处 理 进 行 2500 


终端 主机 上 线 成 功率 在 单 台 TSM 控制 器 平均 
每 分 钟 完 成 2500 次 身份 认证 
的 情况 下 ， 终 端 主机 上 线 成 功 


KAF 9996. 


终端 主机 认证 时 延 在 单 台 TSM 控制 器 平均 
每 分 钟 完 成 2500 次 身份 认证 
的 情况 下 ， 终 端 主 机 的 认证 时 
延 小 于 等 于 10s. 


违规 信息 保存 的 最 长 时 间 


与 安全 接 入 控制 网 关心 跳 检测 时 
间 


m TSM 代理 性 能 指标 





介绍 TSM 代理 在 进行 身份 认证 和 执行 策略 时 的 性 能 指标 。 


性 能 项 目 性 能 指标 
在 不 执行 任何 策略 时 Microsoft Windows XP 的 认证 时 间 


在 不 执行 任何 策略 时 Microsoft Windows XP 最 大 内 存 占用 29M * 


在 执行 所 有 策略 时 Microsoft Windows XP 最 大 内 存 占用 


在 不 执行 任何 策略 时 Microsoft Windows Vista 的 认证 时 间 
在 不 执行 任何 策略 时 Microsoft Windows Vista RANGA 
用 

在 执行 所 有 策略 时 Microsoft Windows Vista 最 大 内 存 占用 


CPU 平均 占用 率 
与 TSM 控制 器 之 间 的 心跳 检测 时 间 








1.4 图 示 
internet Internet PC 终端 
网 络 云图 USG 系 列 防火 墙 
便携 PC 终端 通用 路 由 器 
IRA 48 


无 线 基站 





A 如 何 登 陆 防 火 墙 设 备 


2.1 通过 Console 口 登录 设备 (超级 终端 ) 





mn 人 入 
实验 目的 
在 出 厂 配置 下 ，PC 终端 通过 Console 口 登录 设备 ， 可 实现 对 设备 的 管理 和 配置 。。 
组 网 设备 
USG 防火 墙 一 人 台 ，PC 机 一 侣 。 
mm LA. 
实验 拓扑 图 
G0/0/0 
管理 PC 
192. 168.0.2/24 192.168.0.1/24 USG 
| SAAME N wm 
| ee 
Eamus a= 
~ COM 1 
Console 
Interface 
实验 步 
SIU LY JR 


Step 1 设 图 备 建 立 连 车 接 后 ”将 所 有 设备 FH EH, 并 且 保 证 设备 EH 1B 行 正常 。 


Step 2 在 PC 让 运行 终端 仿真 程序 (以 Windows XP 的 超级 终端 为 例 ) ,选择 “ 开 
始 六 程序 > 附件 > 通讯 > 超级 终端 ”， 显 示 “ 连 接 描述 ”对 话 框 。 


Step 3 Æ “ZEV ”中 输入 PC 与 USG 的 连接 名 称 ， 例 如 COMMI; 并 在 “图 标 ” 
中 选择 任 一 图 标 ， 如 图 所 示 。 


连接 描述 ”对 话 框 (通过 Console 口 登 录 ) 





Si^, zc BE AT ESE ee ET : 





on CH): 
[com 
图 标 (1 : 
Step4 Sih “ME, “连接 到 ”对 话 框 。 
Step 5 在 “连接 时 使 用 ”中 选择 PC 与 USG 连接 时 使 用 的 串口 ,例如 COM1， 如 图 
所 示 。 


3| x| 






人 


Si^ Erin FH TPES N 
国家 地区) E: E REME (8) E 


[X^ (E) : gio 


DOMI -— 





Step 6 iy “Hae” , Sz "COMI alt” iste. xEuDHpSIS3 UE 


Fo 


2x 
端口 设置 | 
每 秒 位 梁 (E): 
rfe Qu: 
ates (E): 


(PLR CS): 


Sire ede m (FD : 





输入 用 户 名 和 密码 后 ， 即 可 进入 用 户 视图 ， 登 录 到 设备 上 。 
验证 结果 


kkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkk 


i Copyright(C) 2008-2012 Huawei Technologies Co., Ltd. à 
i All rights reserved . 
d Without the owner's prior written consent, * 
à no decompiling or reverse-engineering shall be allowed. : 


kkkkkkkkkkkkkkkšžxkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkk 


User interface conO is available 
Please Press ENTER. 


2.2 jfi 3d Console Sik $& (Putty) 


实验 目的 
在 出 厂 配 置 下 ，PC 终端 通过 Console 口 登录 设备 ， 可 实现 对 设备 的 管理 和 配置 。。 
组 网 设备 


USG 防火 墙 一 全 ，PC 机 一 合 。 


实验 拓扑 图 


G0/0/0 


管理 PC 
192.168.0.1/24 
192.168.0.2/24 USG 


SWAIN Nf 
=> ——X 
A | | 


COM 1 
Console 


Interface 





Step 1 TR putty 软件 到 本 地 并 双击 运行 该 软件 。 配 置 通过 串口 连接 设备 的 参数 。 
具体 参数 配置 如 图 所 示 。 


ise PuTTY Configuration 


Select a serialline 
Senal line to connect to 


. Speed (baud) 
| Stop bits 





SteP2、 单 击 “Open”， 即 可 进入 命令 行 配置 界面 。 


训 PUTTY Configuration LB m 


Basic options for your PuTTY session 
Specify the destination you want to connect to 
Serial line 
COMI 
: i Features Connection type: 
B- Window ( Raw © Telnet (?Rlogin © SSH @ Serial 
: Appearance 
| Behaviour 
~~ Translation 


Load, save or delete a stored session 
Saved Sessions 


Default Settings 


Close window on exit: 
O Aways ©) Never — Only ón clean exit 








uM 


Step 3 在 PC {fin FL, Sth “Enter” , 3833 USC 配置 的 认证 方式 后 ， 按 照 
REAR PAA, BGA RAE, SRE LE. 


验证 结果 


kkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkěákxkkkkkkkkkkkkkkkkkkkkkkkkkkkkkk 


i Copyright(C) 2008-2012 Huawei Technologies Co., Ltd. 

i All rights reserved 

M Without the owner's prior written consent, i 
no decompiling or reverse-engineering shall be allowed. É 


kkkkkkkkkkkkkkkkkkkkěkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkk 


User interface conO is available 
Please Press ENTER. 


2.3 通过 Web 方 式 登录 设备 《默认 方式 登录 ) 
实验 目的 
在 出 请 配置 下 ，PC 终端 通过 Console 口 登 录 设 备 ， 可 实现 对 设备 的 管理 和 配置 。。 
组 网 设备 


USG 防火 墙 一 合 ，PC 机 一 合 。 


实验 拓扑 图 


G0/0/0 n 


管理 PC ee TA 
192.168.0.2/24 92.168.0.1/ USG 


三 以 太 网 口 N y 
==> 
el 


COM 1 
Console 


Interface 





ro 


实验 步骤 

Step 1 设备 建立 连接 后 ， 将 所 有 设备 上 电 ， 并 且 保 证 设备 运行 正常 。 
Step 2 PC 网 卡 和 USG G0/0/0 接口 正常 连接 网 线 。 

Step 3 配置 PC BS IP 地 址 为 192.168.0.2/24。 


Step 4 PC 的 浏览 器 访问 http://192.168.0.1, 输入 用 户 名 admin ， 密 码 
Admin@123, ERU. 如 果 成 功 登录 则 表示 配置 成 功 ， 否 
则 请 检查 配置 。 


Note: 缺 省 情况 下 ， 设 备 的 G0/0/0 的 IPSIbXEEE 192.168.0.1， 并 开户 HTTP 管理 。 
用 户 可 以 通过 用 户 名 admin ， 密 码 Admin@123 登录 。 


验证 结果 


Huawei Eudemon200E-C 


ALLA EI 

















系统 


lus] 面板 


o 状态 > 
配置 
& 管理 员 
r3 维护 
天 首 可 靠 性 
国 虚拟 防 以 拉 





2.4 配置 Telnet 登 录 设 备 


实验 目的 
过 配置 使 终端 通过 Telnet 方式 登录 设备 ， 实 现 对 设备 的 配置 和 管理 。 


组 网 设备 
USG 防火 墙 一 人 台 ，PC 机 一 人 台 。 


实验 拓扑 图 


G0/0/1 


| l PC 
10.1.1.2/24 10.1.1.1/24 USG 


ESRB 


Console 
Interface 





Step 1 通过 Console 口 本 地 进入 USG 用 户 视图 。 参见 1.2 通过 Console 方式 登 
陆 防火 墙 设备 。 

Step 2 配置 USC 的 接口 IP 地 址 。 

以 下 面 的 情况 为 例 进行 配置 : 本 地 用 户 通 过 Telnet 方式 接 入 到 USG 干 兆 以 太 网 
接口 GigabitEthernet0/0/1， 接 口 的 IP 地 址 为 10.1.1.1, PPAR 255.255.255.0. 

<USG> system-view 
[USG] interface GigabitEthernet 0/0/1 
[USG-GigabitEthernet0/0/1] ip address 10.1.1.1 24 
[USG-GigabitEthernet0/0/1] quit 


Step3 配置 USG 接口 Http 和 Https 设备 管理 。 


<USG> system-view 

[USG]interface GigabitEthernet 0/0/1 
[USG-GigabitEthernet0/0/1]|service-manage enable 

[US G-GigabitEthernet0/0/1]service-manage telnet permit 
[USG-GigabitEthernet0/0/1]quit 


Step 4- ££ USG 接口 GigabitEthernet 0/0/1 加 入 安全 区 域 。 


[USG]firewall zone trust 
[USG-zone-trust]add interface GigabitEthernet0/0/1 


Step 5 JẸ USG 配置 域 间 包 过 滤 ， 以 保证 网 络 基本 通信 正常 。 


[USG]firewall packet-filter default permit interzone local trust 


Step 6 配置 USG 的 用 户 信息 。 
以 下 面 的 情况 为 例 进行 配置 : 配置 VTY (Virtual Type Terminal) 用 户 接口 的 验证 方 


ttA AAA, Telnet 用 户 名 为 telnetuser, 口令 为 Admin@123@123, 口令 的 存储 方式 为 密 


MAT (cipher)， 级 别 为 level3。 
<USG>system-view 
[USG]user-interface vty 0 4 
[USG-ui-vty0-4]authentication-mode aaa 
[USG-ui-vtyO-4]protocol inbound telnet 
[USG-ui-vtyO-4]quit X 
[USG]aaa 
[USG-aaa]local-user telnetuser password cipherAdmin@123 
[USG-aaa]local-user telnetuser service-type telnet 
[USG-aaa]local-user telnetuser level 3 


Step 7 在 配置 终端 PC 上 运行 Telnet 程序 或 者 Putty, Æ PE 上 选择 “开始 > 3 
行 ”， 显 示 “ 运 行 ”窗口 ， 在 “打开 ”中 输入 ielnmef 10.1.1.1 如 图 所 示 。 


TIFE, with D iuis 资源 . 


HF): telnet 10.1.1.1 





+ 


DEN es 


Specify the destination you want to connect to 

Host Mame (or IP address) ‘ort 
10:11:11 23 

Connection type: 

Raw (@) Telnet ©) Rlogin ©) SSH 


Load, save or delete a stored session 
Saved Sessions 





Step 8 单 击 “确定 ”， 开 始 连 接 USG。 
Step 9 通过 USC 配置 的 认证 方式 后 ， 即 可 和 进 六 用 户 视 图 ， 到 设备 上 。 


R 验 步骤 - Web 
Step 1 通过 Web 进 入 USG 用 户 视图 。 参 见 1.2 通过 Web 方式 登陆 防火 墙 设备 。 
Step 2 配置 USC BS IP 地 址 % 并 配置 G0/0/1 接口 Telnet 设备 管理 。 


LE B 0> #05 


修改 GigabitEthernet 
接口 名 称 GigabitEthernet0/0H 
Als 
VPNSEBII public 
SEE trust 
TR. Ona: 


这 接 类 型 ©) FIP 
IF 地址 10 1 1 .1 
Tide 255 255 255 0 
Sh PEE 


NATIHBE BH G 


“| 启用 访问 管理 号 HTTP LHTTPS Ping 





Step3 4% USG #0 GigabitEthernet 0/0/1T JA ze Kix. 


y> 接 口 》 #05 


中 新 建 36m Css | 请 选择 查 词类 


| 接口 名 称 E 
GEODO st(public) 192.168.0.1 
GEQ/0 10.1.1.1 
配置 安全 区 域 


Fehr GEO/0 


NE 全 public 


安全 区 域 trust 


ETE IE > 
对 设备 访问 控制 列表 
PHE K mes T BF || anyzone 同 Q zig | 国 高 级 查询 
D 源 地 址 
FA any 
3 untrust 


默认 any 





思考 : 配置 G0/0/1 接口 Telnet 设备 管理 的 作用 ? 容许 数据 telnet 管理 此 端口 。 
配置 USC 域 间 包 过 滤 的 作用 ? 保证 管理 数据 通过 Trust 域 到 Local ik. 
配置 telnet 用 户 。 用 户 名 telnetuser， 密 码 Admin@123 


EHn ENEH i 


管理 员 列表 
Ws Uag || RAP SAA [v] | 请 得 入 用 户 名 


telnetuser 


密码 acascanace *(1-18 58 RE) 


确信 密码 全 生生 生生 
Fi PSI (EER d 


信任 主机 #1 





Step 5 在 配置 终端 PC 上 运行 Selnef 程序 或 者 Putty, 在 PC 上 选择 “开始 > 运 
行 ”， 显 示 “ 运 行 ai, fe “FTF” RA telnet 10.1.1.1 如 图 所 示 。 





E% PuTTY Configuration man Om- | 


Basic options for your PuTTY session 

Specify the destination you want to connect to 
Host Mame (or IP address) Port 
10.1.1.1 23 


Connection type: 

=| Window (ORaw @ Telnet © Rlogin © SSH (©) Serial 

: : Appearance 
-~ Behaviour 
-— Translation Saved Sessions 


Load, save or delete a stored session 


z Selection 
i Colours Default Settings 


-C ion 


Close window on exit: 
O Aways ©) Never  @ Only on-eleanvexit 


Open 





Step 6 单 击 “ 确 定 ”， 开 始 连接 USC. 
Step 7 通过 USG 配置 的 认证 方式 后 ， 即 可 进入 用 户 视 图 ， 登 录 到 设备 上 。 


验证 结果 


Connected to 10.10.10.10 ... 
——— AM E A e e e SHI TIC IOI I III III 

E All rights reserved 2008-2012 | 
ü Without the-owner'ss prior written consent, 

* no decompiling or reverse-engineering shall be allowed. * 
* Notice: 

S This is a private communication system. 

* A Unauthorized access or use may lead to prosecution. 
T o 

bogin authentication 


Username: 


2.5 配置 Web 方 式 登 录 设 备 


实验 目的 
当 用 户 通过 出 厂 配置 登陆 了 设备 ， 需 要 通过 CLI 或 者 Web 两 种 配置 方式 ,设置 Web 


设备 管理 参数 ， 并 开启 HTTP zx HTTPS. 


组 网 设备 


USG 防火 墙 一 全 ，PC 机 一 合 。 


实验 拓扑 图 


G0/0/1 
10.1.1.1/24 USG 


Webl | PC 
10.1.1.100/24 


Console 
Interface 





实验 步骤 - CLI 
Step 1 设备 建立 连接 后 ， 将 所 有 设备 上 电 , FAR BITE. 
Step 2 配置 USG GO/O/1 Ay IP 地 址 9.1.1.1。 


<USG>system-view 
[USG]interface GigabitEthernet 0/0/1 
[USG-GigabitEthernet0/0/1]ip address 10.1.1.1 24 


Step3 MÆ USG 接口 He 和 Https 设备 管理 。 


<USG>system-view 

[USG]interface GigabitEthernet 0/0/1 
[USG-GigabitEthernet0/0/1]service-manage enable 
[USG-GigabitEthernet0/0/1]service-manage http permit 
[USG-GigabitEthernet0/0/1]service-manage https permit 
[USG-GigabitEthernet0/0/1]quit 


Step 4 将 USG 接口 GigabitEthernet 0/0/1 MARE Kix. 


[USG]firewall zone trust 
[USG-zone-trust]add interface GigabitEthernet0/0/1 


Step 5 将 USG 配置 域 间 包 过 滤 ， 以 保证 网 络 基本 通信 正常 。 
[USG]firewall packet-filter default permit interzone local trust 


Step6 局 动 Web 管理 功能 。 


[USG]web-manager security enable port 2000 
Note: 执行 security BA, BAB https BE. W web-manager enable port 
2000, THIT security 23x, ZAR http 设备 管理 。 
Note: 不 容许 Https 和 Htp 管理 使 用 相同 的 端口 ， 这 样 配置 会 导致 端口 冲突 。 


Step7 配置 Web 用 户 。 


[USG]aaa 

[USG-aaa]local-user webuser password cipher Admin@123 
[USG-aaa]local-user webuser service-type web 
[USG-aaa]local-user webuser level 3 xX 


Step8 配置 PC By IP 地 址 为 10.1.1.100/24。 PC 的 浏览 器 访问 由 村 ps: 
//10.1.1.1:2000. 


实验 步骤 - Web 
Step 1 Web 登录 设备 建立 连接 后 ， 将 所 有 设备 上 电 ， 并 县 保证 设备 运行 正 弟 。 
Step 2 MA USG 的 IP 地址 。 并 配置 USG 接口 Hip 和 Https 设备 管理 。 


lr» RE ， sn» sn 


MigrGigabitEthernet 


trust 


a) 路 由 


e FF PPPoE 


v Emm mh Ping 


SNMP Telnet 





Step 3 JF YSG HO GigabitEthernet 0/0/1 MARE Kix. 














二 新建 OS RS T RET | 请 选择 查询 类 别 M S, zig 


NE 接口 名 称 安全 区 域 IP 地 址 


GEMO trust(public) 192 158.0.1 


GEQ/0/1 trustipublic) 10.1.1.1 


醒 直 安全 区 域 


接口 名称 GEQO/0H 
VPNSEERI public 
安全 区 域 trust 





Step 4 配置 USG 域 间 包 过 滤 ， 人 允许 设备 管理 数据 从 Trust dS Local 域 通过 。 


EET IE D 
对 设备 访问 控制 列表 
中 新建 36005 CM RIFT || anyzone [v] Q, ra| magma 


Gl untrust 


默认 





Step 5 Az) Web 管理 功能 ， 根 据 客户 需求 月 动 HTTP 或 者 HTTPS 管理 ， 以 及 设置 端 
口号 。 


Bod ux fi RS 
HTTP 服 务 


HTTP 服 务 痛 同 80 x1025-50000-8h4 iB: 80 
HTTPS 服 务 





HTTPSBRSS s F21025-50000- 


JWeb 服 务 超时 时 间 10 =1-1440= Fh 
“NS 5H 配 置 





Step.6 配置 Web 用 户 。 用 户 名 webuser, R Admin@123 


ERS AERA 


«30-3657 (X) 


on | 
管理 员 列 表 
meg OO 刷新 | | 按 用 户 名 查询 国 | 请 输入 用 户 名 

用 户 名 


admin 


| 1 


webuser 


finu ER LRREEZEZELLLEGJ 


HARSI EER, 


信任 主机 #1 
四 高 级 





Step 7 配置 PC 的 IP 地 址 为 10.1.1.100/24。PC 的 浏览 器 访问 https://10.1.1.1:2000。 
验证 结果 


quee 可 以 查看 
E 


n 


Eup LAS: RS Soe Ae 


是 否 继 续 ? 


| ED Ji | | Su (D | 








2.6 配置 SSH 方 式 登 录 设 备 


实验 目的 
当 用 户 通过 出 厂 配置 登陆 了 设备 ， 需 要 通过 CLI midi Web 两 种 配置 方式 ，SSH 管理 设 


备 。 


组 网 设备 


USG 防火 墙 一 合 ，PC 机 一 合 。 


实验 拓扑 图 


G0/0/1 
SSHI PC 10.1.1.1/24 USG 


10.1.1.100/24 
Sonn N € 

ue 

es 


Console 
Interface 





Skinz (CLI) 
Step 1 设备 建立 连接 后 ， 将 所 有 设备 上 电 ， 并 且 保 证 设备 运行 正常 。 
Step 2 配置 USG GO/O/1 的 IP 地址 10.1.1.1。 (上 略 ) 
Step 3 配置 USC 接口 SSH 设备 管理 。 


<USG>system-view 

[USG]interface GigabitEthernet 0/0/1 
[USG-GigabitEthernet0/0/1]service-manage enable 
[USG-GigabitEthernet0/0/1]service-manage ssh permit 
[USG-GigabitEthernet0/0/1]quit 


Step 4 将 USG 接 口 GigabitEthernet 0/0/1 加 入 安全 区 域 。 ( 略 ) 
Step5 将 USG 配置 域 间 包 过 滤 ， 以 保证 网 络 基本 通信 正常 。 ( 略 ) 
Step 6 配置 RSA 本 地 密 钥 对 。 


[USG]rsa local-key-pair create 

The key name will be: USG Host 

The range of public key size is (512 ~ 2048). 

NOTES: If the key modulus is greater than 512, 
It will take a few minutes. 

Input the bits in the modulus[default 2 512]:512 

Generating keys... 

Pn i a lo a EL 

Se ee seach vtec cae ean amen ene ree Gi la lt elt eta aE 

Saat FEEEEEEE 


.十 十 十 十 十 十 十 十 


Step 7 配置 VTY 用 户 界面 。 


[USG]user-interface vty 0 4 
[USG-ui-vtyO-4 Jauthentication-mode aaa 
[USG-ui-vtyO-4]protocol inbound ssh 
[USG-ui-vtyO-4]quit 


Step 8 新 建 用 户 名 为 Client001 的 SSH 用 户 ， 且 认证 方式 为 password。 


[USG]ssh user client001 
[USG]ssh user client001 authentication-type password 


Step9 配置 > 全 用 户 。 


[USG]aaa 

[USG-aaa]local-user sshuser password cipher Admin@123 
[USG-aaa]local-user sshuser service-type ssh 
[USG-aaa]local-user sshuser level 3 


Step 10 配置 SSH FH P1 sshuser 的 服务 方式 为 STelnet， 并 启用 STelnet 服务 。 


[USG]ssh user sshuser service-type stelnet 
[USG]stelnet server enable 


Step 11 配置 PC AY IP 地 址 为 10.1.1.100/24, PC 通过 Putty SSH 访问 设备 。 


fee PuTTY Configuration 


Basic options for your PuTTY session 
Specify the destination you want to connect to 
Host Name (or IP address) Port 

10.1.1.1 


type: i E | 
(3 Telnet (^? Rlogin && SSH © Serial 


Load, save or delete a stored session 














Step 1 Web 登录 设备 建立 连接 后 ， 将 所 有 设备 上 电 、 并 且 保 证 设备 运行 正常 。 
Step 2 配置 USG H IP 地 址 。 并 配置 USG fz A ssh d e EE. 


i PES BOS 接口 、 
修改 GigabitEthernet 
接口 名 称 GigabitEthernet0/0/1 
别名 
WP 实例 public 
ze Etat trust 
18 | JE 
连接 尖 型 e) gRRIP DHCP PPPoE 
目地 址 10 1 1 1 
Td 255 255 255 0 
B LA Ped 


NAT 功 能 BH ®© 


v 启用 访问 管理 C) HTTP HTTPS Ping 


| SSH SNMP Telnet 





Step 3 4% USG 接口 GigabitEthernet 0/0/1 JIA Ze Kix. (BS) 
Step4 配置 USG 域 间 包 过 滤 ， 保 证 数据 通过 Trust 域 到 Local iy. (HE) 
Step 5 配置 SSH 用 户 。 用 户 名 sshuser， 密 码 Admin@123 


ERS AERA 


Hee 


Ee 
密码 过 期 时 间 | 


Gi InELE- 


wis Quer || ALP EAA [v] | 请 输入 用 户 名 
用 户 名 


admin 


sshuser 


确认 密码 ed 
HARI 

信任 主机 #1 

EB am 


SSH 认 证 方式 














HTTP 服 务 v. 启用 

HTTP RES iL 80 *«1025-50000-8H4 iB: 80 
HTTPÉBRZ v AR 

HTTP SAR sm 2 2000 *«1025-50000» 

We ORA AFATE] 10 <1-1440> 分 钟 

"ll SHARE 


| 
4、STELNET 服 务 I BR 


SFTPARS v| 启用 

SSH 服 务 市 口 22 *«1025-55535-8h fü: 22 
WE 3 =1-5> 次 

认证 超时 时 间 | <1-120= 秘 

密 祖 生成 时 间 间 隅 | «0-241 

rum SoReal | «0-15» 

















Step7 配置 PC By IP 地 址 为 10.1.1.100/24。 PC 通过 Putty SSH 访问 设备 。 


Category: 


-]- Session 


- Terminal 


| i- Features 
=| Window 

| i- Appearance 
--- Behaviour 


i Colours 
=|- Connection 
--— Data 


aw EZ aR 





Basic options for your PuT TY session 
Specify the destination you want to connect to 
Host Mame (or IP address) Port 
10.1.1.1 22 
Connection type: 
Raw Telnet Rlogim (à) SSH Serial 
Load, save or delete a stored session 


Saved Sessions 


| Default Settings 


Close window on exit: 
Always Never © Only op clean teat 


[Cancel 


输入 用 户 名 sshuser 密码 Admin@123 登录 设备 





EP 10.1.1.1 - PuTTY -— 








—{ Cod 一 


3 防火 墙 基础 配置 


3.1 系统 管理 


实验 目的 


配置 设备 主机 名 
配置 时 间 

配置 SNMP 服务 器 
配置 日 志 服 务 器 

配置 License 

配置 文件 的 备份 和 恢复 


组 网 设备 
USG 防火 墙 一 台 ，PC 机 一 人 台 。 


实验 拓扑 图 


管理 PC 
mas VANH G0/0/1 i 


J 


a= 





实验 步骤 COLI) 
Step 1 4《 股 备 建 立 连 接 后 ， 将 所 有 设备 上 电 ， 并 且 保 证 设备 运行 正常 。 
Step2、 通 过 Console，Telnef，>sH 等 管理 方式 ， 登 录 到 设备 中 。 实验 步骤 参考 
1:1-1.6 ( 略 ) 。 
Step 3 配置 设备 主机 名 


<USG>system-view 
[USG]sysname USG A 
[USG A] 


Step 4 配置 时 间 
«sysname»clock datetime 0:0:0 2009/01/01 
Step 5 配置 SNMP V2c 服务 器 。SNMP 服务 器 是 192.168.1.2 


<USG>system-view 
[USG]snmp-agent sys-info version v2c /设置 SNMP 版 本 号 V2c 
[USG]snmp-agent community read public igs SNMP 只 读 团 体 字 public 
[USG]snmp-agent community write admin // 设 置 SNMP 读 写 团体 字 admin 
[USG]snmp-agent trap enable ”// 设 置 SNMP trap 功能 X 
[USG]snmp-agent target-host trap address udp-domain 192:168.1.2 params 
securityname swebUser v2c  //i & SNMP trap 服务 器 

思考 : Snmp Agent Trap 的 作用 是 什么 ? 

配置 管理 设备 主动 回 网 管 服务 器 发 送 告警 。 如 果 不 配 置 snmp Trap, Samp 网 管 

服务 将 只 是 周期 性 同和 被 管理 设备 发 送 各 种 查询 报 文 ， 设 备 返回 查询 数据 。 
Step 6 配置 日 志 服 务 器 


查看 信息 中 心 是 否 合 能， 使 能 后 才能 记录 日 忘 信息 ， 默 认 是 使 能 的 。 
[sysnameldisplay info-center 
Information Center:enabled 

开局 信息 中 心 。 
[sysname]info-center enable 

配置 日 志 服 务 器 IP 地 址 和 发 送 日 忘 信息 的 兰 接 口 。 
[sysname]info-center loghost 192.168.1.10 
[sysnamel]info-center loghost source GEO0/0/1 


Step 7 配置 License 
[sysnamellicense file hda1:/license.dat 
Step 8 配置 备份 和 恢复 


设备 做 FTP.Server 的 方式 
// 配 置 网 络 连接 、2IP 地 址 、 接 口 安全 区 域 及 包 过 滤 。( 略 ) 
/开局 设备 的 FTP 功能 并 配置 FTP 用 户 名 、 密 码 及 FTP 路 径 。 
<sysname>system-view 
[Sysname]|ftp server enable 
Info:Start FTP server 
[sysname]aaa 
[sysname-aaal]local-user ftpuser password cipher Ftppass# 
[sysname-aaal]local-user ftpuser service-type ftp 
[sysname-aaa]local-user ftpuser level 3 
[sysname-aaa]local-user ftpuser ftp-directory hda1:/ 
// 从 配置 终端 使 用 ftp 命令 登录 到 设备 上 。 
备份 : 使 用 get 命令 从 设备 下 载 文件 到 PC。 


这 里 以 安装 Windows 操作 系统 的 PC AGI: “Aga > 运行 ”， 输 入 cmd 后 单 
击 “ 确 定 。 

C:\Documents and Settings\Administrator> ftp 192.168.0.1 
Connected to 192.168.0.1. 

220 FTP service ready. 

User (192.168.0.1:(none)): ftpuser 

331 Password required for ftpuser. 

Password: 

230 User logged in. v 
ftp» get vrpcfg.cfg 

200 Port command okay. 

150 Opening ASCII mode data connection for vrpcfg.cfg. 

226 Transfer complete. 

ftp: 收 到 5203 字 节 ， 用 时 0.01Seconds 346.87Kbytes/sec. 

fto» Icd 


Local directory now C:\Documents and Settings Administrator. 
ftp» 


恢复 : 

恢复 的 步骤 和 备份 的 步骤 类 似 ， 但 是 有 两 点 不 同 点 。 
// 恢 复 使 用 put 命令 将 文件 上 传 到 设备 千 。 

ftp» put vrpcfg.cfg 

200 Port command okay. 


150 Opening ASCII mode data connection for vrpcfg.cfg. 
226 Transfer complete. 


ftp: Aik 5203 D, FRHj-0.00Seconds 5203000.00Kbytes/sec. 
// Æ USG 设备 中 配置 命令 行 ， 配置 设备 下 次 启动 使 用 的 配置 文件 。 


«sysname» startup saved-configuration vrpcfg.cfg 
实验 步骤 (Web) 
Step 1 设备 建立 连接 后 ， 将 所 有 设备 上 电 ， 并 且 保证 设备 运行 正常 。 
Step 2 通过 Web 管理 方式 ， 登 录 到 设备 中 。 实验 步骤 参考 1.5 ( 略 ) o 
Step 3 配置 设备 主机 名 USGA. 


选择 “系统 > 面板 > 状态 


四 选择 








> 系统 信息 > 主机 名 称 ”。 


重 命名 
系统 信息 








USG 


钟 信息 : 2013-06-18 15:43:36 


Step 4 配置 时 间 
选择 “系统 > 配置 > 时 钟 配置 ”。 


LE EM SN o 


EU 3 S58 IH ial 
NESE FRE vl 
时 区 («8dEzm: EHE: 广州 ， 上 海 ， Év 
日 期 2013/0648 


系统 时 间 15: 34:57 靶 


ES ri ER sm TS n 





Step 5 配置 SNMP V2c 服务 器 。SNMP 服务 器 是 192.168.1.2 


选择 “系统 > 配置 > SNMP”。 设 置 如 图 所 示 : 


de 系统 BUR SNMP 
配置 SNMP 
SNMP 版 本 v1 e; v2c 


SNMP 吕 读 团 体 名 — 
SNMP 读 写 团 体 名 — 

Trap 接 收 主机 : 端口 1 192. 168.1 .2 |: | 162  )<0-65535>%JrapO$ | swebUser * © 
Trap 报 文 源 地 址 —NoNE— M 

设备 位 置 China 

联系 信息 R&D Huawei Technolog 





Step 6 配置 日 志 服 务 器 


// 碍 看 信息 中 心 是 人 否 使 能 ， 使 能 后 堵 能 记录 日 志 信 息 ， 默 认 是 使 能 的 。 
选择 “日 志 > 日 志 配置 fei. 


© As > BSE AE 


信息 中 心 开 关 v BR 应 用 


移 开 启 信息 中 心 后 ， 日 志 信息 才能 以 Syslog 日 志 类 型 输出 ,日志 显 示 中 才能 
及 时 显示 相应 的 日 志 信息 。 





// 配 置 日 志 服 务 器 IP 地址 和 发 送 日 记 信 息 的 源 接口 。 


选择 “日 志 BOE > 3yslog 配置 "。 设置 产 接 口 GE0/0/1, 并 新 建 日 忘 3 


机 192.168.1.10。 


LEN EET > 


- 
mE Syslog 


Am EUIS 


日 志 主 机 列表 


sr se Bes C3 mls 
志 主 机 IP 地 址 





k BSS DARE > SyslogEDE > 


新 建 日 志 主 机 
日 志 主 机 IP 地 址 
目的 端口 


:五 二 
AS 





Step 7 配置 License 
选择 导入 PC 本 地 的 License 文件 ， 并 选择 激活 。License 具体 的 信息 在 
License 资源 表 中 显示 。 


LEE EE REUS IS 


License € I 





o RAEN a 


o 配置 管理 
o License 管 理 > Licensext ii PEL 
虚拟 防火 墙 “外 授权 【15 个 虚拟 防火 墙 ) 
SSL_VPN 已 授 炽 〈 10 个 并 发 用 户 ) 
入侵 防御 AU 授权 〈 过 期 时 间 : 2014/05/06) 
版 本 号 : 20130502.011 Aaa) 
签名 库 版 本 : 4f» 20130502.011 (升级 时 间 : 15:32:00 2013/06/18... 
尽 病毒 已 授权 【过 期 时 间 : 2014/05/06) 
MES: 包 “MF  — 20130505008 [升级 配置 
签名 库 版 本 : S 20130505.008 升级 时 间 : 15:38:00 2013/06/18... 
tine 007 已 授权 《过 期 时 间 : 2014/05/06) 
URL 预 定义 分 类 查询 已 授权 【过 期 时 间 : 2017/05/06) [$55] 





Step8 配置 备份 和 恢复 


通过 Web 备份 和 恢复 配置 

备份 : 

// 在 菜单 导航 树 中 选择 “系统 > 维护 > 配置 管理 ”进入 配置 管理 界面 。 
查看 当前 的 配置 文件 是 vrpcfg.zip。 
单 击 “ 选 择 ” 按 钮 ， 进 入 配置 文件 管理 界面 : 


e 系统 维护 RENE 


当前 配置 文件 flash: vrpcfg zip eae 





下 次 启动 配置 文件 flash:Nrpcfg.zip O BR | 








[2] 此 配置 文件 当前 正在 使 用 ， 点 击 下 载 配置 文件 到 本 地 。 


HE EE EM 》 


配置 文件 管理 
Eit 3€ mis 网 刷新 


文件 名 文件 大 小 他 节 ) 最 后 修改 时 间 状态 配置 下 载 


flash:/ssl vpn cfg.zip 1736 2011/07/19 10:14:10 2 p 
flash:vrpcfg zip 1413 2013/06/18 11:58:16 当前 配置 文件 t2 [gil 
flash:/_guild.cfg 1414 2013/02/01 15:47:52 [2 . 





恢复 : 
// 单 击 按钮 进入 上 传 文件 界面 。 


i 系统 维护 》 配置 管理 > 


配置 文件 管理 


[à 上传 BS aS OD RIS 
文件 名 MAAS) 最 后 修改 时 间 状态 
flash:/ssl_vpn_cfg.zip 1736 2011/07/19 10:14:10 
flash:\rpcfg.zip 1413 2013/06/18 11:58:16 当前 配置 文件 
flash:/_guild.cfg 1414 2013/02/01 15:47:52 








返回 | 
// 单 击 “ 浏 览 ” 按 钮 选择 本 地 的 配置 文件 后 ， 选 择 “OK” 后 ， 设 备 会 将 文件 上 
传 到 设备 中 。 K 


Ouunasniizsig: 57277 KB ”剩余 空间 : 3486 KB 


XR 





[EE ORES A TOR Bu. beets Ls 8 图 标 ， 图 标 
变 成 [a] 。 


// 重 新 启动 设备 ， 使 配置 文件 生效 。 
选择 “系统 > 维护 > 系统 重启 "， 输 入 用 户 名 密码 ， 重 启 设备 。 


e 系统、 维护 系统 重启 ， 


念 措 计 s 引 接 重启 可 能 导致 配置 于 失 ， 请 在 重启 前 确认 您 已 经 保存 了 配置 或 点 击 “ 保存 并 重启 ” 


[erisa] | xn 





验证 结果 
选择 “系统 六 维护 > 配置 管理 ”查看 下 一 次 启动 的 配置 文件 。 


当前 配置 文件 PELE | 


Tox En BER CE 








4.1 基于 1P 地 址 的 转发 策略 


实验 目的 

介绍 最 基本 的 通过 TP 地 址 控制 访问 权限 的 举例 。 
组 网 设备 

USG 防火 墙 一 台 ，PC 机 两 合 。 
实验 拓扑 图 


Pa 


ie Gf » w^ Untrust 
GO000 | X — ^ G0/0/1 
192.168.5.1/24 RIS 1.1.1.1/24 


oo" 


/C Wm : 
/  192.168.5.2/24 a 


192.168.5.3/24 


192.168.5.4/24 | f- 


实验 步骤 - CLI 
Step 1 MES NEG IP, 3EILAGBIÉS 22 ORI. 


<USG>system-view 
[USG]interface GigabitEthernet 0/0/0 


[USG-GigabitEthernet0/0/2]ip address 192.168.5.1 24 


[USG-GigabitEthernet0/0/2]quit 

[USG]interface GigabitEthernet 0/0/1 
[USG-GigabitEthernet0/0/3]ip address 1.1.1.1 24 
[USG-GigabitEthernet0/0/3]quit 

[USG]firewall zone trust 


[USG-zone-trust|add interface GigabitEthernet 0/0/0 


[USG-zone-trust|quit 
[USG]firewall zone untrust 


[Y 


[USG-zone-untrust]add interface GigabitEthernet0/0/1 


[USG-zone-untrust]quit 


4 防火 墙 安全 转发 策略 


Internet Server ^ 


ies s 





Step 2 配置 名 称 为 ip_deny 的 地 址 集 ， 将 几 个 不 允许 上 网 的 IP 地 址 加 入 地 址 集 。 


[USG]ip address-set ip deny type object 
[USG-object-address-set-ip denyladdress 192.168.5.2 0 
[USG-object-address-set-ip denyladdress 192.168.5.3 0 
[USG-object-address-set-ip denyJaddress 192.168.5.6 0 
[USG-object-address-set-ip deny]quit 


Step 3 创建 拒绝 特殊 的 几 个 IP 地 址 访问 Internet 的 转发 策略 。 


[USG]policy interzone trust untrust outbound 
[USG-policy-interzone-trust-untrust-outbound]policy 0 
[USG-policy-interzone-trust-untrust-outbound-O]policy ‘source address-set 
ip deny 

[USG-policy-interzone-trust-untrust-outbound-OJaction deny 
[USG-policy-interzone-trust-untrust-outbound-O]quit 


Step4 创建 允许 其 他 属于 192.168.5.0/24 这 个 网 段 的 PC 访问 Internet 的 转发 策 
略 。 
[USG-policy-interzone-trust-untrust-outbound]policy 1 


[USG-policy-interzone-trust-untrust-outbound-1]policy source 192.168.5.0 mask 
24 


[USG-policy-interzone-trust-untrust-outbound-1]action permit 
[USG-policy-interzone-trust-untrust-outbound-1 ]quit 
[USG-policy-interzone-trust-untrust-outbound]quit 


Step5 关闭 缺 省 包 过 滤 。 


[USG] firewall packet-filter default deny interzone trust untrust 


思考 : 为 何 要 将 缺 省 包 过 滤 关 闭 ， 如 果 不 关 闭会 有 怎样 的 结果 。 
实验 步骤 - Web 


Step 1 配置 各 个 接口 的 IP， 并 加 入 相应 的 安全 区 域 。 如 图 所 示 : 


WE SE E 


f2 72 GigabitEthernet 


接口 名 称 
Ale 
VPNSERSI 
安全 医 域 
模式 


mE 
IP 地 址 


GigabitEthernet0/D/0 


public 

trust 

* 路 由 

e gSIP DHCP 


192 168 5 31 


a PPPoE 


hel 255 255 255 0 


E 





重复 上 述 步 又 配置 接口 GigabitEthernet 0/0/1. 
LH $E 接口 #05 


GigabitEthernfp/01 . 


修改 GigabitEthernet 
接口 名 称 
别名 


VPN 实例 


public 


安全 区 域 
模式 , 


ERA 
IP 地 址 1 .1 .1 .1 
THER 
m A PE 


we 静态 |P DHCP 


255 255 255 0 





Step2 配置 名 称 为 jp_denys 的 地 址 集 ， 将 几 个 不 允许 上 网 的 IP 地 址 加 入 地 址 集 。 选 
择 “ 防 火 墙 > 地 址 > 地 址 组 ”。 在 “地 址 组 列表 ”中 单 击 ， 进 入 “新 建 地 
址 组 ”界面 人 ~ 配置 地 址 组 的 名 称 和 描述 信息 。 


Fgm ~ = 
192'468.5/2/32 

J 192.168.5.3/32 

N92 168.5.6/32 


Step 3 创建 拒绝 特殊 的 几 个 IP 地 址 访问 Internet 的 转发 策略 。 选择 “防火 墙 > 安 


全 策略 > 转发 策略 ”。 


源 安全 区 域 trust 

目的 安全 区 域 untrust 

源 地 址 deny ip 

目的 地 址 请 选择 或 输入 IP 地 址 


请 选择 用 户 或 用 户 组 
请 选择 服务 
all 


deny 


trust 

untrust 

192 168.5.0/24 

请 选择 或 输入 IP 地 址 
any 

请 选择 服务 

all 


permit 





Step5 关闭 缺 省 包 过 滤 。 


da sz iE CHE 
目的 安全 医 域 
d HE 
目的 地 址 





思考 :为 何 要 将 缺 省 包 过 滤 关 闭 ， 如 果 不 关 闭会 有 怎样 的 结果 。 
验证 结果 


验证 192.168.5.2、192.168.5.3 和 192.168.5.6 这 3 台 PC 访问 Internet 是 否 被 拒绝 。 
验证 192.168.5.0/24 中 的 其 他 1P 地 址 是 否 可 以 正常 访问 Internet. 





5 网 络 地 址 转换 实验 C 


5.1 NAT 0utbound 实 验 


实验 目的 

通过 本 实验 ， 你 将 了 解 NAT outbound 的 工作 原理 及 详细 配置 。 
组 网 设备 

USG 防火 墙 一 台 ，PC 机 两 合 。 
实验 拓扑 图 


G0/0/0 GO/0/1 
1«— 192.168.1.1/24 ; 2, 2, 10127 














PCI Trust Untrust PC2 
192.168.1.10/24 2.2.2.10/24 


实验 步骤 - CLI 
Step 1 配置 PC1 和 PG2 YIP 地 址 分 别 为 192.168.1.10/24 和 2.2.2.10/24。 
Step 2 设置 防火 墙 (GE0/0/0 和 GE0/0/1 的 IP 地 址 。 


[USG]interface GigabitEthernet 0/0/0 
[USG-GigabitEthernetO/0/0]ip address 192.168.1.1 255.255.255.0 
[USG-GigabitEthernetO/0/0]quit 

[USG]interface GigabitEthernet 0/0/1 
[USG-GigabitEthernetO/0/1]ip address 2.2.2.1 255.255.255.0 
[USG-GigabitEthernet0/0/1]quit 

[USG] 


Step 3 将 接口 加 入 防火 墙 安 全 区 域 ,{GE0/0/0 加 入 trust Kik, GEO/O/1 加 入 untrust 
区 域 ) 


[USG]firewall zone trust 
[USG-zone-trust|add interface GigabitEthernet 0/0/0 


[USG-zone-trust|quit 

[USG]firewall zone untrust 

[USG-zone-untrust]add interface GigabitEthernet 0/0/1 
[USG-zone-untrust]quit 


Step 4 配置 域 间 包 过 滤 策 略 。 


[USG]policy interzone trust untrust outbound 
[USG-policy-interzone-trust-untrust-outbound-O]policy 0 
[USG-policy-interzone-trust-untrust-outbound-O]action permit 
[USG-policy-interzone-trust-untrust-outbound-O]policy source 192.168.1.0 mask 
24 


Step 5 配置 NAT 地 址 池 ， 公 网 地 址 范围 为 2.2.2.2 一 2.2.2.5。 
[USG]nat address-group 1 2.2.2.2 2.2.2.5 
Step 6 fc NAT policy. 


[USG]nat-policy interzone trust untrust outbound 
[USG-nat-policy-interzone-trust-untrust-outbound]policy 1 
[USG-nat-policy-interzone-trust-untrust-outbound-1]action source-nat 
[USG-nat-policy-interzone-trust-untrust-outbound-1]policy destination 2.2.2.10 0 
.0.0.255 

[USG-nat-policy-interzone-trust-untrust-outbound-1]address-group 1 
[USG-nat-policy-interzone-trust-untrust-outbound-1]policy source 192.168.1.10 
0.0.0.255 

[USG-nat-policy-interzone-trust-untrust-outbound-1]quit 
[USG-nat-policy-interzone-trust-untrust-outbound]quit 


实验 步骤 — Web 


Step 1 配置 PC1 PC2 f IP 地 址 分 别 为 192.168.1.10/24 $n 2.2.2.10/24. 


Step 2 设置 防火 墙 GEQ/0/0 和 GEO/O/1 AY IP 地 址 。 选择 “网络 > 接口 > 接口 ”。 
在 “接口 列表 ”中 单 击 各 接口 对 应 的 男 。 配 置 如 下 图 所 示 : 配置 完成 后 单 击 
“Ry AY 


接口 名 称 
Alls 

vVPNSECENI 
SEE iei 


PPPOE 


ee L | 


EAP 
alies 
VPNSEEBI public 
实 全 区 域 untrust 
® HH 
E E PPPoE 


IF 地 址 详细 配音 





Step 3 配置 域 间 包 过 站 策略 wb 选择 “防火 墙 > 安全 策略 > 转发 策略 ”。 选 择 “ 转 发 


策略 ”页 签 。 在 “转发 策略 列表 ”中 单 击 :三 。 配 置 如 下 图 所 示 : 配置 完成 后 
单 击 “应 用 ” 


iE ED e trust 
目的 安全 区 域 untrust 


VERE 192.168.1.10/24 
目的 地 址 2.2.2.10/24 

HP VECES L^. FH P SERI PH 
Bg se Vere ARS 

RTB] E all 

动作 permit 

Tek 





Step 4 配置 NAT 地 址 池 ， 公 网 地 址 范围 为 2.2.2.2—2.2.2:5. H "B4 > NAT» 


源 NAT”。 选 择 “NAT 地 址 池 ” 页 签 。 在 AAT 地 址 池 列 表 ” 中 单 击 天。 配 
置 如 下 图 所 示 : 配置 完成 后 单 击 “ 应 用 ”a 


地 址 池 号 
HEHE as HR 
起 加 IP 


车 束 IP 





Step 5 配置 NAT policy. GHEE “BRUKER > NAT» 源 NAT”。 选 择 “ 源 NAT’ WS. 
在 “ 源 NAT 策略 列表 ” 中 单 击 " 玉 。 配 置 如 下 图 所 示 , 配置 完成 后 单 击 “应 用 ”。 


ims s trust 

目的 安全 区 域 untrust 

eH UE 192.168.1.10/24 
目的 地 址 Tac Besa IPP 
动作 MATHS st 

Takt: 


IEIRA e) 地 址 池 中 的 地 址 接口 IF 地 址 
地 址 池 i J. 
J) 区 许 端 口 地 址 转换 





验证 结果 


#4 nat-policy 配置 
[USG]dis nat-policy interzone trust untrust outbound 
nat-policy interzone trust untrust outbound 
policy 1 (0 times matched) 

action source-nat 

policy service service-set ip 

policy source 192.168.1.0 0.0.0.255 

policy destination 2.2.2.0 0.0.0.255 

address-group 1 

A PC1 ping PC2 地 址 

PC1>ping 2.2.2.10 
Ping 2.2.2.10: 32 data bytes, Press Ctrl C to break 
From. 2.2.2:10: bytesz32 seq=1 ttl=127 timez79 ms 
From 2.2.2.10: bytesz32 seqz2 ttl=127 timez31 ms 
From 2.2.2.10: bytes=32 seq-3 ttl=127 timez94 ms 
From 2.2.2.10: bytesz32 seq=4 ttl=127 time=62 ms 
From 2.2.2.10: bytes=32 seq=5 ttl=127 timez94 ms 
--- 2.2.2.10 ping statistics --- 

5 packet(s) transmitted 

5 packet(s) received 

0.0096 packet loss 

round-trip min/avg/max z 31/72/94 ms 


使 用 display firewall session table 命令 查看 NAT 转换 情况 : 
[USG]dis firewall session table 
Current Total Sessions : 15 
icmp VPN:public --> public 
192.168.1.10:45346[2.2.2.5:45346]-->2.2.2.10:2048 
icmp VPN:public --> public 
192.168.1.10:45602[2.2.2.5:45602]-->2.2.2.10:2048 
icmp VPN:public --> public 
192.168.1.10:45858[2.2.2.5:45858]--22.2.2.10:2048 V 
icmp . VPN:public --> public 
192.168.1.10:46114[2.2.2.5:46114]--22.2.2.10:2048 
icmp . VPN:public --> public 
192.168.1.10:46370[2.2.2.5:46370]--22.2.2.10:2048 

可 以 看 到 ， 防 火 墙 将 源 地 址 192.168.1.10 转换 成 了 NAT 地 址 池 中 的 2.2.2.5 5E PC2 

进行 通信 。 


5.2 NAT Server & NAT lnbound 实 验 
实验 目的 


学 会 配置 NAT Server 和 NATinbound. 


组 网 设备 
USG 防火 墙 一 台 ，PC 机 一 合 ， 服 务 器 >- 台 。 


实验 拓扑 图 


GO/0/0 G0/0/1 
fm, 2.2.2. 1/24 











DMZ Untrust 


Server 
192.168:1.2/24 


实验 步骤 `、- OLI 
Step 1 SZ server 地 址 和 PC HEHE. 
Step 2 “设置 防火 墙 GE0/0/0 和 GEO/0/1 AY IP HEHE. 


[USG]interface GigabitEthernet 0/0/0 
[USG-GigabitEthernet0/0/Ojip address 192.168.1.1 255.255.255.0 
[USG-GigabitEthernet0/0/0]quit 

[USG]interface GigabitEthernet 0/0/1 


[USG-GigabitEthernet0/0/1]ip address 2.2.2.1 255.255.255.0 
[USG-GigabitEthernet0/0/1]quit 
[USG] 


Step 3 将 接口 加 入 防火 墙 安全 区 域 .(GEO/0/0 加 入 DMZ 区 域 , GEO/O/1 加 入 untrust 
区 域 ) 


[USG]firewall zone DMZ 

[USG-zone-dmz]add interface GigabitEthernet 0/0/0 
[USG-zone-dmz]quit 

[USG]firewall zone untrust X 
[USG-zone-untrust]add interface GigabitEthernet 0/0/1 
[USG-zone-untrust]quit 


Step 4 配置 域 间 包 过 滤 策 略 。 


[USG]policy interzone dmz untrust inbound 
[USG-policy-interzone-dmz-untrust-inbound]policy 0 
[USG-policy-interzone-dmz-untrust-inbound-0]policy destination 192.168.1.2 
0.0.0.255 

[USG-policy-interzone-dmz-untrust-inbound-0]policy service service-set ftp 


[USG-policy-interzone-dmz-untrust-inbound-0Jaction permit 
Step5 配置 NAT server. 

[USG] nat server protocol tcp global 2.2.2.1 ftp inside 192.168.1.2 ftp 
Step 6 配置 NAT 地 址 池 。 

[USG] nat address-group 1 192.168.1.10 192.168.1.20 


Step 7 7 DMZ 5 Untrust 域 间 应 用 NAT ALG 功能 ,使 服务 器 可 以 正常 对 外 提供 FTP 


服务 。 


[USG] firewall interzone dmz untrust 
[USG-interzone-dmz-untrust] detect ftp 
[USG-interzone-dmz-untrust] quit 


Step 8 创建 和 MZ XIM Untrust 区 域 之 间 的 NAT 策略， 确定 进行 NAT 转换 的 源 地 
址 范围 ， 并 且 将 其 与 NAT 地 址 池 1 进行 绑 定 。 
[USG nat-policy interzone dmz untrust inbound 
[USG-nat-policy-interzone-dmz-untrust-inbound] policy 0 
[USG-nat-policy-interzone-dmz-untrust-inbound-0] policy source 2.2.2.0 
0.0.0.255 
[USG-nat-policy-interzone-dmz-untrust-inbound-0] action source-nat 
[USG-nat-policy-interzone-dmz-untrust-inbound-0] address-group 1 
[USG-nat-policy-interzone-dmz-untrust-inbound-0] quit 
[USG-nat-policy-interzone-dmz-untrust-inbound] quit 


Step 1 iZ server 地 址 和 PC HEHE. 
Step 2 设置 防火 墙 GE0/0/0 和 GEO/O/1 Bg IP 地 址 。 选择“ 网 络 > 接口 > 接口 ”。 
在 “接口 列表 ”中 单 击 各 接口 对 应 的 加。 配置 如 下 图 所 示 : 配置 完成 后 单 击 
^N FH" 2 
接口 名 称 
ill 
VPN 实 倒 
se [x det 


©) PPPoE 


IF 地址 详细 配置 


接口 名 称 
xia 


YPN 实例 puħlic 


安全 区 域 rerust 


CTI 
©) lP PPPoE 


IPERI AACE 





Step 3 AERIENI RE. WIE LE > 安全 策略 > 转发 策略 ”。 选 择 “ 转 发 


策略 ”页 签 。 在 “转发 策略 列表 ”中 单 击 “站 。 配 置 如 下 图 所 示 : 配置 完成 后 
单 击 “应 用 ” 


ise e s de untrust 
目的 安全 区 域 dmz 
福地 址 any 
目的 地 址 any 
用 局 any 


Ass ftp 
mtel Er all 
动作 permit 
描述 





Step 4 配置 NAT server。 选 择 “ 防 火 墙 > NAT > 虚拟 服务 器 ”。 在 “虚拟 服务 器 列 
表 ” 中 单 击 天。 配置 如 图 所 示 : 配置 完成 后 单 击 “ 应 用 ”。 
ie ”防火墙 5 NATO 虚拟 服务 器 > 
新 建 虚拟 服务 器 Qr 
映射 方式 一 对 一 地 址 映射 
外 部 地 址 2224 
内 部 地 址 192 1868 1 


im sE v 
purs e) TCP 


dg INN 21ftp) 


内 部 新 中 21(ftp) 





Step 5 配置 NAT 地 址 池 。 选 择 “ 防 火 墙 > NAT > 源 NAT”。 选 择 “NAT 地 址 池 ? 
页 签 在 NAT HHS SSE” hág T, NAT 地 址 池 的 参数 配置 如 图 所 示 : 


ie BRE S NAT > ENAT S 


I 


JENAT HATH BER 


oe NAT Hehe 


HAT tS 

PAP ith 5 dn 

mot |P 192 168 QD |* 
SE TRIP $) 





Step 6 配置 源 NAT， 选 择 “ 防 火 墙 > NAT > 源 NAT” , ARNAP AW, 在“ 源 
NAT 策略 列表 ”列表 中 单 击 :年 ， 源 NAT 的 参数 配置 如 图 所 示 


e BAE NAT > PENAT > 
S E NAT 


福安 全 区 域 

目的 安全 区 域 

源 地 址 go 010.0.0.255 
目的 地 址 t any 

动作 NATH 

描述 





Tee PS Be AT e; 地 址 地 中 的 地 址 O 接口 IP 地 址 


地 址 池 | Iv]: 
vi 区 许 庙 口 地 址 转换 





验证 结果 


使 用 命令 display nat server 查看 NAT server 对 应 情况 : 

[USG]dis nat server 

Server in private network information: 
id : 0 
zone : ==- 
interface : --- 
global-start-addr : 2.2.2.4 global-end-addr : --- 
inside-start-addr : 192.168.1.20 inside-end-addr  :--- 


global-start-port : --- global-end-port  :--- 


insideport : --- 

globalvpn : public insidevpn : public . 
protocol : --- vrrp pem 

no-reverse : nO 


Total 1 NAT servers 


5.3 双 出 口 NAT 实 验 ( 基 于 zone 的 NATserver+ 双 出 
口 ) 
实验 目的 
学 会 配置 双 出 口 NAT. 学 会 配置 基于 zone 的 NAT server. 
组 网 设备 
WWW server 一 台 ，PC 机 两 台 ，USG 防火 墙 一 合 。 


实验 拓扑 图 


Untrust 


ISP1 yw 









SA 
=| PC1 
| 1.1.1.5/24 





G1/0/1 
G0/0/0 1.1.1.1/24 


1041.1:1/24 omm 


> | 









10.1.1.2/24 


| 2.2.2.5/24 


Sea 29 -OLI 
Step. 配置 PC1、PC2 和 WWW 服务 器 的 IP 地 址 。 具 体 步 又 省 上 略 。 
Step 2 配置 防火 墙 接 口 地 址 。 


[USGlinterface GigabitEthernet 0/0/0 
[USG-GigabitEthernet0/0/0lip address 10.1.1.1 255.255.255.0 


[USG-GigabitEthernet0/0/0]quit 

[USG]interface GigabitEthernet 0/0/1 

[USG-GigabitEthernet0/0/1]ip address 1.1.1.1 255.255.255.0 
[USG-GigabitEthernet0/0/1 ]quit 

[USG]interface GigabitEthernet 0/0/2 

[USG-GigabitEthernet0/0/2]ip address 2.2.2.1 255.255.255.0 
[USG-GigabitEthernet0/0/2]quit 

[USG]firewall zone dmz 

[USG-zone-trustJadd interface GigabitEthernet 0/0/0 X 
[USG-zone-trust]quit 


Step 3 创建 两 个 新 的 安全 区 域 并 将 GE0/0/1 和 GEO/0/2 加 入 相应 的 安全 区 域 。 


[USG]firewall zone name ISP1 
[USG-zone-isp1]set priority 10 
[USG-zone-isp1]add int GigabitEthernet 0/0/1 
[USG-zone-isp1]quit 

[USG]firewall zone name ISP2 
[USG-zone-isp2]set priority 15 
[USG-zone-isp2]add int GigabitEthernet 0/0/2 
[USG-zone-isp2]quit 


Step 4 配置 相应 的 域 间 包 过 滤 策 略 。 


[USG] policy interzone dmz isp1 inbound 
[USG-policy-interzone-dmz-isp1-inbound] policy 0 
[USG-policy-interzone-dmz-isp 1 -inbound-0] policy destination 10.1.1.2 0 
[USG-policy-interzone-dmz-isp1-inbound-0] policy service service-set http 
[USG-policy-interzone-dmz-isp1-inbound-0] action permit 
[USG-policy-interzone-dmz-isp1 -inbound-0] quit 
[USG-policy-interzone-dmz-isp1 -inboung] quit 

[USG] policy interzone dmz isp2 inbound 
[USG-policy-interzone-dmz-isp2-inbound] policy 0 
[USG-policy-interzone-dmz-isp2-inbound-0] policy destination 10.1.1.2 0 
[USG-policy-interzone-dmz-isp2-inbound-0] policy service service-set http 
[USG-policy-interzone-dmz-isp2-inbound-0] action permit 
[USG-policy-interzone-dmz-isp2-inbound-0] quit 
[USG-policy-interzone-dmz-isp2-inboung] quit 


Step 5 配置 内 部 服务 器 ， 对 不 同 的 安全 区 域 发 布 不 同 的 公 网 IP 地 址 。 


[USG] nat server zone isp1 protocol tcp global 1.1.1.2 inside 10.1.1.2 
[USG] nat server zone isp2 protocol tcp global 2.2.2.2 inside 10.1.1.2 


实验 步骤 - Web 


Step1 配置 PC1、PC2 和 WWW 服务 器 的 IP 地 址 。 具 体 步 又 省 略 。 


Step 2 配置 防火 墙 接口 地 址 。 选择 “网 络 > 接口 > 接口 ”。 在 “接口 列表 ”中 单 
击 各 接口 对 应 的 加 。 具 体 步骤 省 上 略 。 

Step 3 创建 两 个 新 的 安全 区 域 并 将 GE0/0/1 和 GE0/0/2 加 入 相应 的 安全 区 域 。 GEE 
“网 络 > 安全 区 域 > 安全 区 域 ”。 单 击 “ 安 全 区 域 列表 ”中 的 “新 建 ”。 依 
次 输入 各 项 参数 ， 如 图 所 示 : 


e FES 安全 区 域 安全 区 域 ， 
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Step 4 配置 相应 的 域 间 包 过 滤 策 略 。 


p: 


源 安全 区 域 ^i Sp 

目的 安全 区 域 ong 

源 地 址 | 请 选择 或 输入 IF 地 址 

目的 地 址 请 选择 或 输入 IP 地 址 

HP 请 选择 或 输入 用 户 或 用 户 组 
服务 请 选择 服务 

Ay |e] Ear all 

STE permit 
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m 
s 





广安 全 区 域 isp2 
目的 安全 区 域 


VR VERE EE SE ^. I PERCHE 
目的 地 址 请 选择 或 输入 IP 地 址 


VE EE Ek Hi^ Pa IPS 
请 选择 服务 


all 





Step 5 配置 内 部 服务 器 , 对 不 同 的 安全 区 域 发 布 不 同 的 人 JIP 地 址 。 选 择 “ 防 火 墙 > 
NAT» 虚拟 服务 器 ”。 在 “虚拟 服务 器 列表 ”中常 击 下 新 建 。 创 建 到 两 个 出 
口 的 虚拟 服务 器 映射 。 


映射 方式 一 对 一 地 址 映射 
外 部 地 址 1112, A 


内 部 地 址 EU 


impi 


映射 方式 一 对 一 地 址 映射 
外 部 地 址 2221 
内 部 地 址 


fa Pooh 





aw WEZ aS 


查看 NAT Server. 
[USG]display nat server 
Server in private network information: 
id : 0 
Zone : isp1 


interface 


global-start-addr : 1.1.1.1 global-end-addr  :--- 


inside-start-addr : 10.1.1.2 inside-end-addr : --- 
global-start-port : O(any) global-end-port — : --- 
insideport : O(any) 

globalvpn : public insidevpn : public 
protocol : tcp vrrp pee 
no-reverse : nO 

id | "4 
zone : isp2 

interface : --- 

global-start-addr : 2.2.2.1 global-end-addr ... .--- 
inside-start-addr : 10.1.1.2 inside-end-adar œ : --- 
global-start-port : O(any) global-end-port . : --- 
insideport : O(any) 

globalvpn : public insidevpn : public 
protocol : tcp vrrp oe 
no-reverse : nO 


Total 2 NAT servers 
使 用 display firewall session table 查看 nat server 转换 情况 : 
[USGIdis firewall session table 
09:29:38 2013/05/22 
Current Total Sessions : 11 
icmp  VPN:public --> public 10.1.1.1:52651--210.1.1.2:2048 
icmp VPN:public --> public 1.1.1.1:52907-->1.1.1.2:2048 
icmp VPN:public --> public 2.2.2.1 :53163-->2.2.2.2:2048 
icmp |. VPN:public --> public 2.2.2.2:256-->10.1.1.2:2048 
icmp VPN:public --> public 1.1.1.2:256-->10.1.1.2:2048 
http VPN:public --> public 1.1.1.2:2053-->10.1.1.2:80 
http VPN:public --> public 2.2.2.2:2050-->10.1.1.2:80 
http VPN:public --> public 2.2.2.2:2051 -->10.1.1.2:80 
http - VPN:public --> public 2.2.2.2:2052-->10.1.1.2:80 
http | VPN:public --> public 2.2.2.2:2053-->10.1.1.2:80 
htto’ VPN:public --> public 1.1.1.2:2054-->10.1.1.2:80 


6 防火 墙 双 机 热 备 实验 


6.1 防火 墙 双 机 热 备 实验 


实验 目的 


2 命令 行 和 web 方式 配置 防火 墙 双 机 热 备 ，USG 作为 安全 设备 被 部 署 在 业 
Es FON SEN 均 是 交换 机 ，USG_A、USG_B 以 主 备 备份 方式 工作 ， 且 上 下 


ipsi el 
组 网 设备 


1. 两 合同 型 号 的 USG2200 或 两 全 同型 号 的 USG5000 防火 墙 ,，2 侣 交换 机 , 两 合 PC 
2. 防火 墙 至 少 有 三 个 业务 接口 








Sc gir 7H F | 
SE ur A X 
Master 
USG A 
NL ~N 
irtua FEBS 10.100.10.2/24 3M. 202.38.10.2/24 


PC2 


一 | 
| 202.38.10. 100/24 







F200 oi 
10:0.0.1/24 







10.100.10.1/24 Ew 
L ~、 





E2/0/0 
10.0.0.2/24 \ 


PCI 
10.100.10.100/24 










Trust V / 


io Untrust 
Woot 备份 组 2 


P 202.38.10.3/24 Virtual IP Address 
202.38.10.1/24 





GO/O/O | 
10.100.10.3/24 


实验 步骤 `- CLI 
Step 个 完成 USG_A 上 、 下 行业 务 接口 的 配置 。 配置 各 接口 IP 地 址 并 加 入 相应 安全 区 
域 。 


<USG A> system-view 

[USG_A] interface GigabitEthernet 0/0/0 

[USG A-GigabitEthernet0/0/0] ip address 10.100.10.2 24 
[USG A-GigabitEthernet0/0/0] quit 

[USG A]interface GigabitEthernet 0/0/1 


[USG A-GigabitEthernet0/0/3] ip address 202.38.10.2 24 

[USG A-GigabitEthernet0/0/3] quit 

[USG A] firewall zone trust 

[USG_A-zone-trust] add interface GigabitEthernet 0/0/0 

[USG A-zone-trust] quit 

[USG A] firewall zone untrust 

[USG A-zone-untrust] add interface GigabitEthernet 0/0/1 

[USG A-zone-untrust] quit 

配置 接口 GigabitEthernet 0/0/0 Bg VRRP 备份 组 1, 3400 A SIR 273 Master 
HY VGMP 党 理 组 。 

[USG_A] interface GigabitEthernet 0/0/0 

[USG_A-GigabitEthernet0/0/1] vrrp vrid 1 virtual-ip 10.100.10.1 master 

[USG A-GigabitEthernetO/0/1] quit 

配置 接口 GigabitEthernet 0/0/1 Bg VRRP 备份 组 2, 并 加 入 到 状态 为 Master 
HY VGMP 党 理 组 。 

[USG_A] interface GigabitEthernet 0/0/1 

[USG_A-GigabitEthernet0/0/3] vrrp vrid 2 virtual-ip 202.38.10.1 master 


[USG_A-GigabitEthernet0/0/3] quit 
Step 2 配置 域 间 过 滤 保 证 通讯 

[USG] firewall packet-filter default permit interzone trust untrust 
Step 3 完成 USG_A 的 心跳 线 配 置 。 


配置 Ethernet2/0/0 的 IP ttt. 

[USG_A] interface Ethernet2/0/0 

[USG A-GigabitEthernet0/0/2] ip address 10.0.0.1 24 
[USG A-GigabitEthernet0/0/2] quit 


配置 Ethernet2/0/0 加 入 DMZ 区域。 


[USG A] firewall zone dmz 

[USG/ A-zone-dmz] add interface Ethernet2/0/0 
[USG -A-zone-dmz] quit 

指定 Ethernet2/0/0 为 心跳 口 。 

[USG_A] hrp interface Ethernet2/0/0 


Step 4 启用 HRP 备份 功能 。 
[USG_A] hrp enable 
Step 5 配置 Trust 区 域 和 Untrust 区 域 的 域 间 转发 策略 。 


配置 Trust 区 域 和 Untrust 区 域 的 域 间 转发 策略 。 
HRP M[USG AJ] policy interzone trust untrust outbound 
HRP M[USG A-policy-interzone-trust-untrust-outbound] policy 1 


HRP M[USG A-policy-interzone-trust-untrust-outbound-1] policy source 
10.100.10.0 0.0.0.255 


HRP M[USG A-policy-interzone-trust-untrust-outbound-1] action permit b 
HRP_M[USG_A-policy-interzone-trust-untrust-outbound-1] quit 


HRP_M[USG_A-policy-interzone-trust-untrust-outbound] quit 
Step 6 配置 USC B. 


USG B MEXR USC A 的 配置 基本 相同 ， 不 同 之 处 在 于 : V 

l. USG B 各 接口 的 IP 地 址 与 USG_A 各 接口 的 IP 地 址 不 相同 。 

2. USG B 的 业务 接口 GigabitEthernet0/0/0 和 GigabitEthernetO/0/1 加 
入 状态 为 Slave 的 VGMP 管理 组 。 


Step 7 Big Switch. 


分 别 将 两 全 Switch 的 三 个 接口 加 入 同一 个 VLAN » 具体 配置 命令 请 参考 交换 
机 的 相关 文档 。 


Step 8 配置 静态 路 由 。 


在 内 网 中 的 PC 上 配置 静态 路 由 ， 将 VRRP 备份 组 的 虚拟 IP 地 址 作为 到 达 其 
他 网 段 的 下 一 跳 地 址 。 


实验 步骤 — Web 


Step 1 完成 U3G A 防火墙 接 口 配 置 入 选择 “网 络 > 接口 > 接口 。 单 击 需 要 配 


置 接口 后 面 的 配置 按钮 国 所 依次 选择 或 输入 各 项 参数 单 击 “ 应 用 ”。 d 
置 完成 后 如 下 图 所 示 。 


afe 网 络 > 接口 > 接口 > 


接口 列表 LUAN 
中 新 建 党 nee CB RST | 请 选择 查 词类 别 «| & sa 


EL EB FH? Kiet IP 地 址 VLAN Tag 
FE2/0/0 dmzí(public) 10.0.0.1 


GEO/D/B trustipublic) 10.100.10.2 


GEQ/0/1 untrustipublic) 202 38 10.2 





Step 2. TA US C. A 防火 墙 域 间 转 发 策略 配置 。 


Trust 与 untrust 间 转 发 策略 : 选择 “防火 墙 > 安全 策略 > 转发 策略 ”。 在 
“转发 策略 列表 ”中 ， 单 击 “ 新 建 ”。 依次 输入 或 选择 各 项 参数 。 单 击 “应 
H” B 


完成 Trust 与 untrust 间 转 发 策略 如 图 所 示 。 


LESS AE oc > 


i de se lia Bl 


op img 3$ mu Dassen cet M BIST | any zone 国 | 一 | anyzone Iv] Gaia | leew 
ID ot 目的 地 址 用 户 服务 时 间 段 
iJ untrust->trust 


BA any 
3 trust->untrust 
0 10.100.10.0/24 
FAT, any 





防火 墙 DMZ 本 地 策略 : 选择 “防火 墙 > 安全 策略 > 本 地 策略 ”。 在 “对 
设备 访问 控制 列表 ”中 ， 选 择 默认 策略 ， 动 作 改 为 permit, iG "ANH o 


完成 防火 墙 DMZ 本 地 策略 配置 如 图 。 
LE E ME > 
对 设备 访问 控制 列表 


oP gg 2€ UB mim anyzone 
产地 址 





Step 3 完成 USG_A 防火 墙 YRRP 备份 组 1 和 VRRP 备份 组 2 的 配置 


新 建 VRRP/ 备 份 组 1。 选 择 “ 系 统 > 高 可 靠 性 > 双 机 热 备 ”。 fe “VRID 


列表 ”中 必 单 击 ” 新 建 ”。 依次 输入 或 选择 各 项 参数 。 单 击 “ 应 用 ”。 


Ho Eo MAE > 


新 建 VRID 


VRRP VRID *1-255» 


接口 名 称 Iv | mem | 


接口 IF 地 址 , 捕 码 | | P 
gel PH pd RS 10 | 100 10 1 |+ |255 255 255 0 
管理 组 (€ Active ( ) Standby n 


- Be 























Se | oxm | 
同上 操作 新 建 VRRP 备份 组 2 


新 建 VRID 


VRRP VRID 2 N haz 

接口 名 称 GEO — [x] ZERA 
ROPARS Gu y. Msc 
gel Pet pd ES | "gg h * |255 255 255 0 
管理 组 w Aciv |. ; Standby 


-D 5g 








| BH || ea | 


Step 4 完成 USC A 防火墙 HRP 配置 。 选 择 “ 系 统 > 高 可 靠 性 > 双 机 热 备 ”。 
中 “HRP EZI” a WI HRP 备份 通道 的 接口 FE2/0/0。 点 击 高 级 进入 高 级 
项 ， 依 次 输入 或 选择 各 项 参数 。 单 击 “ 应 用 o 


选 
Yt 


a 


——- 


«v HRP Bh IRPiRSS: coy xS: 





HRP 备 份 通道 / 四 RRIP 
C Eres 














USC B 防火 墙 配置 与 U3G_A 防火 墙 基 本 一 致 ， 上 略 。 


实验 结果 
在 USG_A 上 执行 display vrrp 命令 ,检查 VRRP 组 内 接口 的 状态 信息 ， 显 示 以 
下 信息 表示 VRRP 组 建立 成 功 。 
HRP M«USG A>dis vrrp 
16:12:02 2013/06/08 
GigabitEthernet0/0/1 | Virtual Router 2 
VRRP Group : Master 
state : Master 
Virtual IP : 202.38.10.1 X 
Virtual MAC : 0000-5e00-0102 
Primary IP : 202.38.10.2 
PriorityRun : 120 
PriorityConfig : 100 
MasterPriority : 120 
Preempt: YES Delay Time: 0 
Advertisement Timer : 1 
Auth Type : NONE 
Check TTL : YES 


GigabitEthernet0/0/0 | Virtual Router-1 
VRRP Group : Master 
state : Master 
Virtual IP : 10.100.10.1 
Virtual MAC : 0000-5e00-0101 
Primary IP : 10:100.10:2 
PriorityRun :-120 
PriorityConfig : 100 
MasterPriority : 120 
Preempt: YES Delay Time: 0 
Advertisement Timer : 1 
Auth Type : NONE 
Check TTL : YES 
在 USG_A 上 执行 display hrp state 命令 ， 检 查 当前 HRP 的 状态 ， 显 示 以 下 信 
ARI HRP 建立 成 功 。 
HRP_M<USG_A>dis hrp state 
16:15:31 2013/06/08 
The firewall's config state is: MASTER 


Current state of virtual routers configured as master: 
GigabitEthernet0/0/1 vrid 2: master 


GigabitEthernet0/0/0 vrid — 1: master 


在 处 于 Trust 区 域 的 PCI1 vg ping VRRP 组 1 的 虚拟 IP 地址 10.100.10.1, 在 
USC A 上 检查 会 话 。 
HRP M«USG A>display firewall session table 
16:17:36 2013/06/08 
Current Total Sessions : 1 
icmp VPN:public --> public 10.100.10.100:1-->10.100.10.1:2048 


可 以 看 出 VRRP 组 配置 正确 后 ， 在 PCI 端 能 够 ping 通 VRRP 组 4 的 虚拟 IP 
地 址 。 


PC2 作为 服务 器 位 于 Untrust 区 域 。 在 Trust 区 域 的 PC1 端 能 够 ping 通 Untrust 
区 域 的 服务 器 。 分 别 在 USG A 和 USG_B 上 检查 会 话 。 
HRP_M<USG A>display firewall session table 
16:19:42 2013/06/08 
Current Total Sessions :1 
icmp VPN:public --> public 10.100.10.100:1--2202.38.10.100:2048 


HRP S«USG B»display firewall session table 
16:03:19 2013/06/08 
Current Total Sessions : 1 
icmp |. VPN:public --> public «Remote 10.100.10.100:1--2202.38.10.100:2048 

可 以 看 出 USG_B 上 存在 高 有 Remote 标记 的 会 话 ， 表 示 配 置 双 机 热 备 功能 后 ， 
会 话 备份 成 功 。 
在 PC1 上 执行 ping 202.38.10.100 -+ ,然后 将 USG_A 防火 墙 G0/0/0 接口 网 
线 拨 出 ， 观 察 防火 墙 状态 切换 及 ping BEEBI; 再 将 USG A 防火 墙 G0/0/0 
接口 网 线 恢复 ， 观 察 防火墙 状态 切换 及 ping BEIT. 


7 防火 墙 用 户 管理 


7.1 上 网 用 户 认证 〈( 免 认证 和 密码 认证 ) 


实验 目的 A 
介绍 免 认 证 和 密码 认证 的 应 用 场景 和 配置 方法 。 
组 网 设备 


USG 防火 墙 一 合 ，PC 机 一 合 。 


实验 拓扑 图 C 


192.168.0.2/2 m G0/0/0 ^|Internet Server 
USG  Eth1/0/0 VS y, 1.1.1 
192.168.0.1/24 11.11/24 ~ me eas 


> J 
密码 认证 用 户 E 
192.168.1.2/24 z 


一 一 > fV uU Df 
一 一 > 密码 认证 数据 流 





实验 步骤 (Web) 


Step 6 配置 USG 的 接口 基本 参数 ,并 加 入 安全 域 。G60/0/0 加 入 guest 区 域 , G0/0/1 
加 入 Trust, Eth1/0/0 加 入 UAtrust。 上 有 具体 步骤 略 。 


Step 7 配置 缺 省 路 由 ， 其 下 一 哑 地 址 为 1.1.1.2。 
m 路 由 > HS > 静态 路 由 > 
新 建 静态 路 由 
目的 地 址 


H 
下 一 味 


接口 — NONE — 


IP Link& — NONE — 
优先 加 60 





Step8 创建 免 认 证 用 户 组 。 


选择 “用 户 > 上 网 用 户 > 组 /用 户 ”。 
在 “组 织 结构 ”中 ， 选 择 “root”。 
E RREH” hamt JE”, 选择 “新 建 组 ” 组 名 guest. 


S LEN LEE LE 
组 成 部 


组 路 径 : roots 
TED : 
组 信息 : 子 组 个 数 : 1 


成 只 管理 


IMEHA 
aes AA 


ee 


EARP 


新 建 认 证 策略 
名 称 
描述 
IP 地 址 范围 1 '192.168.0.2-192.168.0.254 
认证 方式 免 认 证 
© 新 用 户 认 证 选项 守 新 甩 户 指 本 地 不 存在 的 账户 》 


Wi 234 
© 仅 作 鸭 虱 时 用 户 ， 不 添加 到 本 地 用 户 列 表 中 
性 用 该 组 左 网 权限 








Step 10 创建 密码 认证 用 户 组 和 用 户 。 
选择 “SOF 》 上 网 用 户 > 组 /用 户 ”。 
TEHRAN” H, JE “root”. 
FES Bc EHE” pA “ORT”, 选择 “新 建 组 ” 组 名 Normal. 


i FPS 上 网 用 户 》 组 用 户 》 


roof] 


子 组 个 数 : 1 


oP iig. SS ans OO leh 翌 批 里 修改 Ea an Su 
新 建 用 户 
ane? A 


! 


添加 已 有 用户 | 





© LEN LENT LEE 


normal 











Æ “HWRE” H, wF% “normal”. 
在 “成 员 管理 h ERR E”, XE HT EAP”, FP 44 user01 密码 Admin@123。 


© APS 上 网 用 户 组 用 户 》 


BAR AUU 


组 路 径 : normal) 
jh: 
组 信息 子 组 个 数 : 0 直属 用 户 个 数 : 1 


成 员 管 理 





新 建 v 
CU 新 建 用 户 所 属 组 
新 建 多 用 户 Inormal 
新 建 组 
添加 已 有 用 户 


所 属 组 选择 
V| 本 地 密码 @ 


密码 990000006 *(1-167 S74) 
为 提升 密码 安全 性 ， 建 议 密 码 至 少 包 含 以 下 字符 中 的 3 种 : 
XÁÀ-72, «a-z», «0-9», 特殊 字 行 CBE $. 8, 95) 
确认 密码 LIIIIIIIII 


四 用 户 属性 











Step 11 创建 网 段 192. 168. 1. 0/24 对 应 的 用 户 认 证 策略 normal. 


LE LEM LEM: > 


新 建 认证 策略 


名 称 normal 

描述 

IP 地 址 范围 1 192.168.1.2-192.168.1.254 HORF, 
认证 方式 © 
认证 服务 器 类 型 e) RADIUS LDAP AD 


认证 服务 器 名 称 — NONE — [~] 
一 国 新 用 户 认证 选项 《新 用 户 指 本 地 不 存在 的 账户 } 











Step 12 为 免 认 证 用 户 创建 转发 策略 。 选 择 源 安 全 区 域 guest, ees CA 
untrust， 并 选择 免 认 证 用 户 组 guest, ZJE7J Permit. 


f- 


新 建 转发 策略 


[<] 
+ 


源 安全 区 域 guest 

目的 安全 区 域 untrust 

源 地 址 TEX EE SL IPIE 
目的 地 址 any 

用 户 Iguest 

服务 请 选择 服务 

时 间 段 all 

动作 permit 

描述 


J fi, 


s 
is 


Kg 











NIR 














DIEN GN 图 | 
* 


KI 





Step 13 为 密码 认证 用 户 创建 转发 策略 。 


选择 源 安全 区 域 trust， 目 的 安全 区 域 为 untrust， 并 选择 密码 认证 用 户 组 
normal, zJjfEJj Permit. 


M PAS RRRS Pe 
新 建 转 发 策略 «v NC 


源 安全 区 域 trust 

目的 安全 区 域 untrust 

源 地 址 请 选择 或 输入 IP 地 址 
目的 地 址 any 

用 户 
服务 请 选择 服务 
时 间 段 all 




















动作 permit 
fat 








ui PE ROS #0> 


修改 GigabitEthernet 

LIBET TI GigabitEthernetQ/0/0 

Al 

VPNSEfI public 

安全 区 域 trust 

模式 生路 由 

和 连接 类 型 ®) 静态 IP DHCP PPPoE 
IP 地 址 192 168 5 _1 V 
TH 255 255 255 0 


E 





Step 14 配置 上 网 认证 推送 页 面 配置 ， 设 置 重 定 加 方式 是 HTTP, SPIE ES et 
8888. 


ELIT LIEU 
d i | 
单 点 登录 配置 。 ”全 局 配置 PN 
认证 通过 后 跳 转 设置 —— N m 
自 定义 URL 页面 及 (CURL 示 例 : http/wwwtestcom) 
重 定向 认证 方式 


认证 端口 I » 1025-50000> 
用 户 登 录 错 误 次 数 限制 o, EN 

Fa PERT ial "n «1-102438 

在 线 用 户 超时 时 间 k <1-65535> 分 钟 


应 用 





当 用 户 通 过 Http 方式 访问 Interne 信 的 业务 ， 将 重 定 向 到 上 网 用 户 认证 页 面 。 
思考 : 重 定 同 认证 方式 HTTP A HTTPS 的 区 别 。 


验证 结果 
临时 用 户 不 需要 输入 用 祖 名 密码 ， 即 可 以 访问 Internet. 





普通 员工 通过 HT TR i Internet IY, USG 应 推送 用 户 认证 页 面 ， 提示 用 户 输 入 用 户 名 
和 密码。 用 户 只 有 输入 正人 确 的 用 户 名 和 密码 后 ， 才 能 访问 网 络 资源 。 


9 防火 墙 互联 技术 实验 C 


8.1 VLAN 实验 (配置 VLAN 间 通 过 Vlanif 接口 通 
信 ) X 
EI 
实验 目的 
通过 本 实验 ， 你 将 学 会 如 何 配置 VLAN 间 通 过 Vlanif 接口 通信 
组 网 设备 
USG 防火 墙 一 全 ，PC 机 四 人 台 。 
实验 拓扑 图 






Ethernet 
4/0/2 


Ethernet 
4/0/1 


Ethernet 
4/0/0 





Step 1 配置 VLAN， 并 加 入 接口 。 


创建 VLAN100。 

<USG> system-view 

[USG] vlan 100 

[USG-vlan-100] quit 

在 VLAN100 中 加 入 端口 Ethernet 4/0/0. 
[USG] interface Ethernet 4/0/0 
[USG-Ethernet4/0/0] port access vlan 100 
[USG-Ethernet4/0/0] quit 


f£ VLAN100 中 加 入 端口 Ethernet 4/0/1. 
[USG] interface Ethernet 4/0/1 
[USG-Ethernet4/0/1] port access vlan 100 
[USG-Ethernet4/0/1] quit 

创建 VLAN200. 

[USG] vlan 200 

[USG-vlan-200] quit 

在 VLAN200 中 加 入 端口 Ethernet 4/0/2. 
[USG] interface Ethernet 4/0/2 
[USG-Ethernet4/0/2] port access vlan 200 
[USG-Ethernet4/0/2] quit 

在 VLAN200 中 加 入 端口 Ethernet 4/0/3. 
[USG] interface Ethernet 4/0/3 
[USG-Ethernet4/0/3] port access vlan 200 
[USG-Ethernet4/0/3] quit 


Step 2 配置 VIanif 接口 。 


配置 Vianif100 B IP 地址。 

[USG] interface vlanif 100 

[USG-Vlanif1 00] ip address 120.1.1.1:24 
[USG-Vlanif1 00] quit 

配置 Vlanif200 BN IP 地 址 。 

[USG] interface vlanif 200 
[USG-Vlanif200] ip address 130.1.1.1 24 
[USG-Vlanif200] quit 


Step 3 将 接口 加 入 安全 区 域 、 并 配置 域 间 包 过 滤 ， 以 保证 网 络 基 本 通信 


[USG]firewall.zone trust 

[USG-zone-trust|add interface Vlanif 100 
[USG-zone-trust]quit 

[USG]firewall-zone untrust 

[USG-zone-untrust] add interface Vlanif 200 
[USG-zone-untrust] quit 

[USG] policy interzone trust untrust inbound 
[USG-policy-interzone-trust-untrust-inbound] policy 0 
[USG-policy-interzone-trust-untrust-inbound-0] action permit 
[USG-policy-interzone-trust-untrust-inbound-0] quit 
[USG-policy-interzone-trust-untrust-inbound] quit 

[USG] policy interzone trust untrust outbound 
[USG-policy-interzone-trust-untrust-outbound] policy 0 
[USG-policy-interzone-trust-untrust-outbound-0] action permit 
[USG-policy-interzone-trust-untrust-outbound-0] quit 


[USG-policy-interzone-trust-untrust-outbound] quit 


Step 4 配置 属于 VLANIOO 的 主机 网 关 为 120.1.1.1， 配 置 属于 VLAN200 的 主机 网 
天 为 130.1.1.1。 在 主机 上 设置 ， 具 体 步 又 省 略 。 
验证 结 呆 


配置 完成 后 ， 属 于 VLAN100 和 VLAN200 的 主机 之 间 可 以 相互 ping iÑ: 
PC2»ping 120.1.1.2 


Ping 120.1.1.2: 32 data bytes, Press Ctrl C to break X 
From 120.1.1.2: bytes=32 seq=1 ttl=127 time=47 ms 
From 120.1.1.2: bytes=32 seq=2 ttl=127 time=31 ms 
From 120.1.1.2: bytes=32 seq-3 ttl=127 time=47 ms 
From 120.1.1.2: bytes=32 seq=4 ttl=127 time=31 ms 
From 120.1.1.2: bytes=32 seq=5 ttl=127 time=47 ms 


--- 120.1.1.2 ping statistics --- 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 31/40/47 ms 


PC1»ping 130.1.1.2 


Ping 130.1.1.2: 32 data bytes, Press Ctrl C to break 
From 130.1.1.2: bytes=32 seq-1 ttl=127 time=16 ms 
From 130.1.1.2: bytes=32 seq=2 ttl=127 time=31 ms 
From 130.1.1.2: bytes=32 seq=3 ttl=127 time=31 ms 
From 130.1.1.2: bytes=32 seq=4 ttl=127 time=31 ms 
From 130,1.1:2: bytes=32 seq-5 ttl=127 time=47 ms 


--- 130.12 ping statistics --- 
5 packet(s) transmitted 
5 packet(s) received 
0:00% packet loss 
round-trip min/avg/max = 16/31/47 ms 


8.2WLAN 实验 (Crypto 服务 类 ) 
实验 目的 
通过 本 实验 , 你 将 学 会 在 新 建 无 线 服务 后 , 无 线 用 户 可 以 搜索 到 无 线 服务 的 网 络 名 称 


(SSID) 并 连接 到 无 线 局 域 网 。 


组 网 设备 
带 有 无 线 网 卡 的 主机 一 合 ，USG2110-X 防火 墙 1 合 
实验 拓扑 图 






Internet 









< 人 Station 


实验 步骤 


Step 1 


Step 2 


Step 3 


配置 GigabitEthernet 0/0/1 接口 / 移 接 口 加 入 安全 区 域 。 


<USG> system-view 

[USG] interface GigabitEthernet 0/0/1 
[USG-GigabitEthernet0/0/1] ip address 202.169.10.1 24 
[USG-GigabitEthernet0/0/1] quit 

[USG] firewall zone untrust 

[USG-zone-untrust| add. interface GigabitEthernet 0/0/1 
[USG-zone-untrust] quit 


创建 VLAN. 及 对 应 Vlanif 接口 ， 将 Vlanif 接口 加 入 安全 区 域 。 


[USG] vlan 2 

[US G-vlan-2] quit 

[USG] interface Vlanif 2 

[USG-Vlanif2] ip address 192.168.1.1 255.255.255.0 
[USG-Vlanif2] quit 

[USG] firewall zone trust 

[USG-zone-trust] add interface Vlanif 2 
[USG-zone-trust] quit 


配置 WLAN-BSS 接口 。 


创建 WLAN-BSS 接口 。 
[USG] interface wlan-bss 2 


Step 4 


Step 5 


Step 6 


将 WLAN-BSS 接口 加 入 到 VLAN2. 
[USG-Wlan-Bss2] port access vlan 2 
[USG-Wlan-Bss2] quit 


配置 服务 类 。 


创建 服务 类 。 

[USG] wlan service-class 2 crypto 

Ades SSID. 

[USG-wlan-sc-2] ssid WLAN100 "4 
配置 认证 模式 。 

[USG-wlan-sc-2] authentication-method wpa2-psk 

Fic Ata IA Me e 

[USG-wlan-sc-2] encryption-suite ccmp 

配置 预 共 享 (PSK) ZEB. 

[USG-wlan-sc-2] pre-shared-key pass-phrase abcdefgh 
局 用 服务 类 。 

[USG-wlan-sc-2] service-class enable 

[USG-wlan-sc-2] quit 


配置 射频 接口 。 


设置 射频 接口 使 用 的 射频 类 型 为 dotllgn. 

[USG] interface Wlan-rf 4/0/0 

[USG-Wlan-rf4/0/0] shutdown 

[USG-Wlan-rf4/0/0] radio-type dot119gn 

[USG-Wlan-rf4/0/0] undo-shutdown 

配置 服务 类 与 WLAN-BSS E O HE o 

[USG-Wlan-rf4/0/0]. bind. service-class 2 interface wlan-bss 2 
[USG-Wlan-rf4/0/0] quit 


配置 域 间 包 过 滤 策 略 ， 保 证 网 络 正常 通信 。 


打开 Trust 区 域 和 Untrust 区 域 之 间 的 包 过 滤 。 

[USGI policy interzone trust untrust inbound 
[USG-policy-interzone-trust-untrust-inbound] policy 0 
[USG-policy-interzone-trust-untrust-inbound-0] action permit 
[USG-policy-interzone-trust-untrust-inbound-0] quit 
[USG-policy-interzone-trust-untrust-inbound] quit 

为 实现 Station 和 AP 互相 访问 ， 需 要 打开 Station 所 在 安全 区 域 和 Local Ze 
全 区 域 之 间 的 包 过 滤 。 

[USG] policy interzone trust local inbound 
[USG-policy-interzone-local-trust-inbound] policy 0 
[USG-policy-interzone-local-trust-inbound-0] action permit 
[USG-policy-interzone-local-trust-inbound-0] quit 


[USG-policy-interzone-local-trust-inbound] quit 

[USG] policy interzone trust local outbound 
[USG-policy-interzone-local-trust-outbound] policy 0 
[USG-policy-interzone-local-trust-outbound-0] action permit 
[USG-policy-interzone-local-trust-outbound-0] quit 
[USG-policy-interzone-local-trust-outbound] quit 


Step 7 配置 缺 省 路 由 。 
[USG] ip route-static 0.0.0.0 0.0.0.0 202.169.10.2 C 
Step 8 配置 客户 端 无 线 网 卡 (客户 端的 操作 系统 以 Windows XP A fix 


静态 配置 无 线 网 卡 IP 地 址 : 192.168.1.2/24 和 192.168.1.3/245 

a) 选择 “开始 > 控制 面板 > MAE”, 在“ 网络 连 接 写 中 选择 “本 地 连 
Zz o 

o) 在 弹出 界面 的 “常规 ”页 签 中 选择 “属性 ”。 

c) 在 弹出 界面 的 “常规 ”页 签 中 选择 “Interneta (TCP/IP)”。 

d) 在 弹出 界面 的 “常规 ”页 签 中 选择 “使 用 下 面 的 IP 地址 ”， 在 “IP 地 址 ” 
框 中 输入 IP 地 址 (分 别 为 192.168.1.2: 192.168.1.3), Æ “FNI” 
框 中 输入 子 网 掩 码 (255.255.255.0) ; 在 关 默认 网 关 ” 中 输入 网 关 地 址 ( 输 
A Vlanif 2 Bj IP 地 址 192.168.1.1)% 


配置 无 线 网 卡 上 的 SSD, WEER WERA, MF (PSK) 29, HERS 

USG 设备 上 保持 一 致 。 

e) 选择 “开始 > 控制 面板 >\ 网 络 连 接 ”， 在 “网 络 连接 ”中 右键 单 击 “ 无 
线 网 络 连接 ”， 选 择 “ 属 性 ”。 

人 在 弹出 界面 的 “无 线 网 络 配置 ”页 签 中 勾 选 “用 windows 配置 我 的 无 线 
网 络 设置 ， 单 击 确认 。 

g) 选择 “开始 > 控制 面板 > 网 络 连 接 ”， 在 “网 络 连 接 ” 中 右键 单 击 “ 无 
线 网 络 连接 ”选择 “属性 ”。 

h) 在 弹出 界面 的 “无 线 网 络 配置 ”页 签 中 选择 “添加 ”。 

) ”在 弹出 界面 的 “关联 ”页 签 中 ,取消 色 选 “自动 为 我 提供 此 密 钥 ”在 “网 
A SSID)” PA SSID, 在 “无 线 网 络 密 钥 ” 中 的 “网 络 身 份 验证 ” 
下 拉 菜 单 中 选择 认证 方式 ,在 “数据 加 密 ” 下 拉 菜 单 中 选择 加 密 方 式 , 在 
{网络 密 钥 ”输入 框 中 输入 密 钥 ， 并 在 “确认 网 络 密 钥 ” 中 重复 输入 密 组 
进行 确认 ， 单 击 “ 确 定 ”。 

N 在 弹出 界面 的 “无 线 网 络 配置 ”页 签 中 选择 “查看 无 线 网 络 ”。 

kj 在 弹出 界面 的 “无 线 网 络 连 接 ” 页 签 中 的 右 侧 列举 了 无 线 工 作 站 搜索 到 的 
AP 信息 ， 选 择 对 应 SSID ， 双 击 进行 连接 。 


验证 结果 
无 线 客户 端 可 以 ping 通 USG 防火 墙 接口 地 址 。 


8.3 E1 实验 
实验 目的 


为 模拟 广域网 ， 在 USG 防火 墙 上 安装 E1 接口 卡 ， 分 别 通过 WEB 和 CL 这 两 种 方式 
实现 设备 间 互 通 ; 


组 网 设备 
两 台 USG2200， 两 台 PC，E1 线 缆 一 根 ， 网 线 两 根 。 


实验 拓扑 图 





PCI: 


EI 





122.168.1.1 C0/0/1: El 1/0/0: El 1/0/O: G0/0/1: 


192.168.1.254 200.200.200.1 200.200.200.2 19?2.168.2.254 


实验 步骤 - CLI 


Step 1 


Step 2 


Step 3 


配置 E1 1/0/0 接口 的 工作 模式 为 EE] 模式 。 


<USG-A>system-view 
[USG-Alcontroller E1 1/0/0 
[USG-A-E1 1/0/0]using e1 
[USG-A-E1 1/0/0]quit 
<USG-B>system-view 
[USG-B]controller E1 1/0/0 
[USG-B-E1:/1/0/0]using e1 
[USG-B-E1- 1/0/0]quit 


Bag Seriall/0/0:0 #20 BY IP 地 址 。 


[US G-A]interface Serial1/0/0:0 

[USG-A-Serialt/0/0:0]ip address 200.200.200.1 255.255.255.0 
[USG-A-Serial1/0/0:0]quit 

[USG-B]interface Serial1/0/0:0 

[USG-B-Serial1/0/0:0]ip address 200.200.200.2 255.255.255.0 
[USG-B-Serial1/0/0:0]quit 


将 Serial1/0/0:0 接口 加 入 Untrust 安全 区 域 。 


[USG-Alfirewall zone untrust 
[USG-A-zone-untrust|add interface Serial1/0/0:0 





PC2: 
192.168.2.1 


[USG-A-zone-untrust]quit 

[USG-B]firewall zone untrust 
[USG-B-zone-untrust]|add interface Serial1/0/0:0 
[USG-B-zone-untrust]quit 


Step 4 配置 GigabitEthernet 0/0/1 接口 的 IP 地 址 。 


[USG-A]interface GigabitEthernet 0/0/1 
[USG-A-GigabitEthernetO/0/1]ip address 192.168.1.254 255.255.255.0 
[USG-A-GigabitEthernet0/0/1]description to PC1 V 
[USG-A-GigabitEthernet0/0/1]quit 

[USG-B]interface GigabitEthernet 0/0/1 
[USG-B-GigabitEthernetO/0/1]ip address 192.168.2.254 255.255.255.0 
[USG-B-GigabitEthernet0/0/1]description to PC2 
[USG-B-GigabitEthernet0/0/1]quit 


Step5 #20 GigabitEthernet 0/0/1 加 入 Trust Zea [x Tali. 


[USG-A]firewall zone trust 

[USG-A-zone-trust]add interface GigabitEthernet 0/0/1 
[USG-A-zone-trust]quit 

[USG-B]firewall zone trust 

[USG-B-zone-trust]add interface GigabitEthernet 0/0/1 
[USG-B-zone-trust] quit 


Step 6 配置 域 间 缺 省 包 过 滤 。 


[USG-A]firewall packet-filter default permit all 
[USG-B]firewall packet-filter default permit all 


Step7 配置 缺 省 路 由 。 


[USG-Alip route-static 0.0.0.0 0.0.0.0 200.200.200.2 
[USG-B]ip.route-static 0.0.0.0 0.0.0.0 200.200.200.1 


实 难 步 又 - Web 


Step 1 配置 USC-A 的 接口 (1) E11/0/0。 选 择 “ 网 络 > 接口 > 接口 。 dE "E 
Aa” PAE] 4/0/0 所 在 行 的 加 ， 依 次 输入 或 选择 各 项 参数 ， 具 体 参 数 
配置 如 个 : 


LEE ANE 接口 、 #05 


接口 名 称 

别名 

当前 E1 醒 式 | e. piu 

EX SE D frm, | e) HDB3 
帖 格式 ® NO-CRCA 
REHAT () ER e; 从 时 钟 

Hs FS enm HER Riess]: =n 

Pry Pa Se 








Step 2 单 击 “ 时 聊 捆 绑 配 置 ” ; 选择 捆绑 模式 为 “全 部 捆绑 为 一 个 Serial O” ; 5e 


击 “添加 ”; 其 他 均 为 缺 省 值 ， 单 击 “ 应 用 ? 。 
UE ELE Bc 


. zB t Serial 
EE HH 
HASTE OFS | *«(-30- 


4-34 fl 1,3,5-107 


pot Pease Se = 





配置 E1 1/0/00, “接口 列表 ”上 会 显示 新 生成 的 接口 Serial 1/0/0:0， 该 接口 为 三 
ESSE DIS 


n Eu. 


BOAR N/ 
OP PPS 删除 GQ BRT || 请 选择 查询 类 别 同 Q iig 
Denge 安全 区 域 IP 地 址 VLAN Tag 种 式 连接 类 型 RHAH. BH 配置 
、 4 EP1/0/0 t * 
N Serial1/0/0:0 -NONE-(public) Route PPP 会 ot 
| FE2/0/0 -NONE-(public) Route IP 2 JL 
GE0/0/0 trust(public) 192.168.17.3 Route IP 会 会 
GE0/0/1 -NONE-(public) Route IP 会 oe 
Serial4/0/0 -NONE-(public) Route PPP 会 会 
第 1 页 共 1 页 显示 1-6, 共 6 条 





Step 3 配置 接口 Serial1/0/0:0 加 入 到 Untrust i, 配置 GigabitEthernetO/0/1 接口 

加 入 到 安全 区 域 Trust 域 。 选 择 “ 网 络 > 接口 HO” , 在 “接口 列表 ”中 
单 击 Serial 1/0/0:0 所 在 行 的 编辑 ， 依 次 输入 或 选择 各 项 参数 ， 具 体 参 数 配 置 
如 下 : 

接口 名 称 

别名 

YPN 实 例 public 

安全 区 域 untrust 


HEER E HHA ®) PPP 


MAT 功 能 
自用 访问 管理 O HTTP&, | 了 Ping 
SN 人 RE Telnet 


mi 


fre GigabitEthernet 
接口 名 称 
xa 
VPN 实 出 / public 
安全 区 域 trust 


PPPoE 
IF 地 址 32 . 168. . Z2 IP 地 址 证 里 配 秆 
EIER 
Ex PT 


NAT 功 能 
启用 访问 管理 @ HTTPS 
SNMP 





其 他 均 为 缺 省 值 ， 单 击 “ 应 用 。 


Step 4 配置 USG-B (操作 与 U3G-A 相同 ， 此 处 略 。) 


Step 5 USG-A 和 USG-B 上 配置 域 间 包 过 滤 策 略 ， 以 保证 网 络 基本 通信 正常 。 选择 
“防火 墙 > 安全 策略 > 转发 策略 ”。 AGE “Untrust->trust” RAY “BRIA” 
所 在 行 的 国 。 选择 “动作 ”为 “permit”。 单 击 “ 应 用 ”。 


i 防火墙 、 安全 第 略 转发 策略 > 


新 建 转发 策略 


源 实 全 区 域 untrust 

目的 实生 区域 trust 

福地 址 请 选择 或 输 . 六 .IP 地 址 
目的 地 址 请 选择 或 输 六 IFP 地 址 

HP Vere TEE RE a^. Pe A PH 
服务 请 选择 服务 

时 间 段 all 

动作 permit 

描述 


"33 加 加 回回 回国 国 


u 





Bach “trust->untrust” BRAY “BRIA” PRET EN Ee were "E W “permit”. # 
n “RY FA” e 


i 防水 墙 > SE 转发 策略 > 


* 


源 安 全 区 域 tust ^ 

目的 安全 区 域 ungt 7 

源 地 址 Nie FERE A IPHA E 
目的 地 址 请 叱 择 或 输入 IF 地 址 


* 


Am 
: 符 


it 
i 


FAA (Gast ^. FH P aA Pe 
Hg ss 请 选择 服 备 

ET [E] Ear all 

动作 permit 

描述 


m 
ii 


* 


LEE ee ee 





Step 6 USG-Asfl USG-B 上 路 由 配置 ， 以 保证 网 络 基本 通信 正常 。 选 择 “ 路 由 > R 
上 略 路 由 > 策略 路 由 ”， 单 击 “新 建 ”; 依次 选择 或 输入 各 项 参数 ， 单 击 “ 应 
用 > o 


USG-A 静态 路 由 配置 
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验证 结果 
从 USG-A 上 使 用 源 地 址 192.168.1.1 Ping 192.168.2.2 ， 结 果 应 成 功 : 
在 USG-A 上， 选择 “系统 > 维护 > 诊断 中 心 ”， 选 中 “ping” Ns; 在 “ 目 
的 主机 的 域名 或 IP 地址。 中 输入 “192.168.2.2”， 单 击 “ 高 级 配置 ”， 在 “ 报 
文 源 地 址 ”中 输 和 sea192.168.1.1”， 单 击 “ping” ， 结 果 显示 应 如 下 : 
56 data by tes, press CTRL C to break 
y from 192.168.2.2: bytes-56 Sequence-1 ttl-255 time=10 ms 
Reply from 192.168.2.2: bytes-56 Sequence? ttl-255 time-10 ms 
| ly from 192.168.2.2: bytes=56 Sequence-3 ttl=255 time=10 ms 
j N leply from 192.168.2.2: bytes-56 Sequence=4 ttl-255 time-20 ms 
Reply from 192.168.2.2: bytes-56 Sequence-5 ttl-255 time-10 ms 






a 


>. 192.168.2.2 ping statistics --- 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 10/12/20 ms 
# 从 USG-B 上 使 用 源 地 址 192.168.2.2 Ping 192.168.1.1， 结 果 应 成 功 ; 


fp USG-B 上， 选择“ 系统 > 维护 > 诊断 中 心 ”， Xen "Ping" We; + “A 
的 主机 的 域名 或 IP 地 址 ”中 输入 “192.168.1.1”,， 单 击 “ 高 级 配置 ”, Æ “Tk 
文 源 地 址 ”中 输入 “192.168.2.2”， 单 击 “pPing”， 结 果 显 示 应 如 下 : š 
<USG-B>PING 192.168.1.1 
56 data bytes, press CTRL_C to break 

Reply from 192.168.1.1: bytes=56 Sequence=1 ttl=255 time=10 ms 

Reply from 192.168.1.1: bytes=56 Sequence=2 ttl=255 time=20 ms 

Reply from 192.168.1.1: bytes=56 Sequence=3 ttl=255 time=10 ms 

Reply from 192.168.1.1: bytes=56 Sequence=4 ttl=255 time=10 ms 

Reply from 192.168.1.1: bytes=56 Sequence=5 ttl=255 timez10 ms 


--- 192.168.1.1 ping statistics --- 
5 packet(s) transmitted 
5 packet(s) received 
0.00% packet loss 
round-trip min/avg/max = 10/12/20 ms 


8.4 SA 实验 
实验 目的 


为 模拟 广域网 ， 在 USG 防火 墙 上 安装 \SA 接口 卡 ， 分 别 通过 WEB 和 CH 这 两 种 方式 
实现 设备 间 互 通 


组 网 设备 
两 台 USG2200, W6 PC, v35 线 纱 一 根 ， 网 线 两 根 。 
实验 招 扑 图 





> USG-B - PC2: 
192.168 1N G0/0/1: Serial4/0/0: Serial4/0/0: G0/0/1: p 
192.168.1.254 100.100.100.1 00.1001002: 192.168.2254 


实验 步骤 - CLI 
Step 1 分 别 配置 防火 墙 A 和 防火 墙 Serial 4/0/0 接口 的 IP 地 址 。 


<USG-A->system-view 


[USG-A]interface Serial 4/0/0 

[USG-A-Serial4/0/0]ip address 100.100.100.1 255.255.255.0 
<USG-B>system-view 

[USG-B]interface Serial 4/0/0 

[USG-B-Serial4/0/0]ip address 100.100.100.2 255.255.255.0 


Step 2 重启 接口 ， 激 活 配置 。 


[USG-A-Serial4/0/0]shutdown 
[USG-A-Serial4/0/0]undo shutdown 


[USG-B-Serial4/0/0|shutdown 
[USG-B-Serial4/0/0]undo shutdown 


Step 3 4% Serial4/0/0 接口 加 入 Untrust 安全 区 域 。 


[USG-Alfirewall zone untrust 
[USG-A-zone-untrust]add interface Serial4/0/0 
[USG-A-zone-untrust]quit 


[USG-B]firewall zone untrust 
[USG-B-zone-untrust|add interface Serial4/0/0 
[USG-B-zone-untrust]quit 


Step 4 #20 GigabitEthernet 0/0/1 加 入 Trust RE Kin. 


[USG-A]firewall zone trust 
[USG-A-zone-trust]add interface GigabitEthernet 0/0/1 
[USG-A-zone-trust]quit 


[USG-B]firewall zone trust 
[USG-B-zone-trust]jadd interface GigabitEthernet 0/0/1 
[USG-B-zone-*trust]quit 


Step 5 配置 域 间 缺 省 包 过 滤 。 


[USG-Al]firewall packet-filter default permit all 


[USG-B]firewall packet-filter default permit all 
Step6 配置 缺 省 路 由 。 
[USG-Alip route-static 0.0.0.0 0.0.0.0 100.100.100.2 


[USG-B]ip route-static 0.0.0.0 0.0.0.0 100.100.100.1 


实验 步骤 - WEB 


Step 1 配置 USG-A 的 接口 Serial 4/0/0。 选择 “网 络 > 接口 > 接口 ”。 在 “接口 列表 ”中 
单 击 Serial 4/0/0 所 在 行 的 国 ， 依 次 输入 或 选择 各 项 参数 ， 具 体 参 数 配置 如 下 : 
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Step 2 配置 USG-B 操作 与 UyC-A 相 同 ， 此 处 略 。) 


Step 3 USG-A m USC-B 上 配置 域 间 包 过 滤 ， 以 保证 网 络 基本 通信 正常 。 选择 “防火 墙 > 安全 
策略 > 转发 策略 ”。 单 击 “untrust->trust” 下 的 “默认 ”所 在 行 的 加。 选择 “动作 ” 
M “ermit” : 单 击 “应 用 ” o 


LE IRE AMI > 


新 建 转发 策略 


* 


庆 安 全 区 域 untrust 

目的 安全 区 域 trust 

福地 址 请 选择 或 办 .A\IP 地 址 

目的 地 址 VECES ^. IP HEHE 

HP E FF Bi ^, FH IP? P28 
WERS 


Wo Ww a) RS 


all 


* 


permit 


加 ,加 图 回回 回回 回国 





um 


单 击 "trustuntrust" 下 的 “默认 ”所 在 行 的 国 。 YER “NIE? OM “permit”. 
单 击 Ty 用 "ss 


i Fe > SERE PTE > 


* 


EE st trust 

目的 安全 区 域 untrust 

JEHA HIE 请 选择 惑 输入 IP 地 址 

目的 地 址 请 选择 惑 输入 IP 地 址 。 oy 


* 


bi 
i 


m 
is 


用 户 请 选择 或 输入 用 户 或 用 PP 组 
RS 请 选择 服务 Da 

时 间 自 all 

动作 permit 

描述 


bi 
i 


* 


p 8 89 89 8 9 089 9 
à 
: 





Step 4 USG-A 和 USG-B 上 路 由 配置 ,以 你 证 网 络 基本 通信 正常 。 WEIS “ERA > 策略 路 由 > 7E 
上 略 路 由 ”， 单 击 “ 新 建 ”; 依次 选择 或 输入 各 项 参数 ， 单 击 “ 应 用 ”。 


USG-A 静态 路 由 配置 


SEES B X 
B nth m usT2 "o ] 





Tir 255 255 255 0 |* 
下 一 时 E 100 100 100 2 | 下 一 跳 和 接口 趟 能 同时 为 宇 
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验证 结 

M USG-A 上 使 用 源 地 址 192.168.1.1 Ping 192.168.2.25 结果 应 成 功 ; 
fg USC-A E, 选择 “系统 > 维护 > 诊断 中 心 " 售 选中 “Ping” 页 签 ; fe “A 
的 主机 的 域名 或 IP 地 址 ”中 输入 “192.168.2.2”% 单 击 “ 高 级 配置 ”, 在 “ 报 
文 源 地 址 ”中 输入 “192.168.1.1”， 单 击 和 外 mg”， 结 果 显 示 应 如 下 : 
<USG-A>PING 192.168.2.2 
56 data bytes, press CTRL C to break 

Reply from 192.168.2.2: bytes=56 Sequence=1 ttl=255 time=10 ms 

Reply from 192.168.2.2: bytes=56 Sequence=2 ttl=255 time=10 ms 

Reply from 192.168.2.2: bytes-56 Sequence-3 ttl=255 time=10 ms 

Reply from 192.168.2.2: bytes-5b6 Sequence=4 ttl=255 time=20 ms 

Reply from 192.168.2:2: bytes=56 Sequence=5 ttl=255 time=10 ms 


--- 192.168.2.2 ping. statistics --- 

5 packet(s) transmitted 

5 packet(s) received 

0.00%packet loss 

round-trip min/avg/max = 10/12/20 ms 
从 USB 上 使 用 源 地 址 192.168.2.2 Ping 192.168.1.1, RNAI; 
在 USG-B È, 选择 “系统 > 维护 > 诊断 中 心 ”， 选 中 “Ping” 页 签 ; 在 “ 目 
的 主机 的 域名 或 IP 地 址 ”中 输入 “192.168.1.1”, 单 击 “高 级 配置 ”, 在 “ 报 
文 源 地 址 ”中 输入 “192.168.2.2” ， 单 击 “Ping” ， 结 果 显 示 应 如 下 : 
<USG-B>PING 192.168.1.1 
56 data bytes, press CTRL C to break 

Reply from 192.168.1.1: bytes=56 Sequence=1 ttl=255 time=10 ms 

Reply from 192.168.1.1: bytes=56 Sequence=2 ttl=255 time=20 ms 

Reply from 192.168.1.1: bytes=56 Sequence-3 ttl=255 time=10 ms 

Reply from 192.168.1.1: bytes=56 Sequence=4 ttl=255 time=10 ms 

Reply from 192.168.1.1: bytes=56 Sequence=5 ttl=255 time=10 ms 


--- 192.168.1.1 ping statistics --- 
5 packet(s) transmitted 
5 packet(s) received 
0.0096 packet loss 
round-trip min/avg/max = 10/12/20 ms 





8.5 3G 实验 V 
实验 目的 

在 USG 上 安装 了 3G 接口 卡 时 ,可 以 通过 配置 使 内 网 用 户 通过 3G-75 38$: 9I Internet. 
组 网 设备 

USG2110-X ikf&— A, USB 无 线 网 卡 一 张 ， 主 机 一 合 。 


实验 拓扑 图 





Cellular 2/0/0 





实验 步骤 
Step 1 配置 接口 若林 参数 。 选 择 “ 网 络 > 接口 > 接口 ” 。 在 “接口 列表 ”中 单 击 
GEO/0/1 所 在 行 的 国 ， 依 次 输入 或 选择 各 项 参数 ， 如 图 所 示 : 


LE 网 络 接口 #05 


fi GigabitEthernet 
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sex det 
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其 他 参数 均 为 缺 省 值 。 单 击 “ 必 用 o 


Step 2 配置 3G 拨号 。 选 择 “ 无 线 &DSL> 3G > 3G 配 置 ”。 在 “基础 配置 ”区 域 
框 中 ， 配 置 参 数 如 图 所 示 。 
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Hep *ggs 
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Na 功能 v nH 


年 “高 级 ”区 域 框 中 , 分 别 选择 “自动 获得 IP 地 址 ”和 “自动 获得 DNS 地 址 ”。 
单 击 “ 应 用 ”。 


Step 3 配置 DHCP ,给 内 网 PC 分 配 IP 地 址 。 选 择 “网 络 > DHCP 服务 器 > 服务 ”。 
在 “配置 DHCP 基本 参数 ”中 选择 “启用 ”， 单 击 “应 用 ”， 启 用 DHCP 服 


务 。 


ij FESS DHCP 服 务 器 > IRS > 


Aca DHCPH AS 











DHCP HRS 




















ft “DHCP 服务 信息 列表 ”中 单 击 “ 新 建  ， 依 次 输入 或 选择 答 项 参数 ， 具 体 
参数 如 图 所 示 : 

接口 名 称 GEO/0 

Anas Seat ES ae 

可 分 配 IP 地 址 范围 
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DNSBE- 利用 系统 的 DNS 设置 
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i HRDNSIES-R 


mi 






































其 他 参数 均 为 缺 省 值 。 掌 击 “ 应 用 "。 

Step 4 配置 域 间 包 过 滤 , 以 保证 网 络 基本 通信 正常 。 选 择 “防火墙 > 安全 策略 > 转 
发 策略 ” 。 在 转发 策略 列表 ”中 查看 trust->untrust 默认 规则 的 “动作 ? 
是 否 为 permit。 如 果 不 是 ， 请 单 击 ere. 

Step 5 配置 PC (PC 的 操作 系统 以 Windows XP 为 例 ) 。 右 击 桌面 “网 上 邻居 ”， 


单 击 /属性 ”， 进 入 “网 络 连接 ”窗口 。 选择 连接 时 使 用 网 卡 对 应 的 “本 地 
连接 人 ， 石 击 “ 本 地 和 连接”， 进 入 “本 地 连接 属性 ”窗口 。 





Xt $e "Internet 协议 (TCP/IP)”, 点 击 “属性 ”, HEA “Internet yix. (TCP/IP) 
属性 ”窗口 ， 选 择 “ 自 动 获得 IP 地 址 ”和 “自动 获得 DNS 服务 器 地 址 ”。 


常规 | Bear | mu 
连接 时 使 用 : 
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验证 结果 


ft PC 上 打开 网 页 ， Heer 3 可 以 正常 上 网 。 


选择 “无 线 &DSL > 3G> 3G 配置 ”。 查 看 “当前 状态 ”和 “信号 强度 ”。 如 果 显 示 “ 未 
连接 ， 表 示 3G 拨号 失败 ， 请 检查 配置 ， 如 果 “ 信 号 强度 ” 弱 ， 会 影响 连接 速度 ， 
请 调整 天 线 或 设备 Ke > 





VPN 技术 实验 C 


9.1 L2TPVPN 实验 (Client-Initialized VPN) 
实验 目的 ~ 


通过 该 实验 ， 你 将 能 够 掌握 如 何 实现 Client-Initialized 方式 建立 本 地 认证 的 L2TP 的 配 
Ho 


组 网 设备 
USG 防火 墙 一 合 ，PC 机 两 合 。 


实验 拓扑 图 
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Sc üt zv FRCL | 
Step 1 配置 LNS i; E PRETI IP 地 址 并 配置 域 间 包 过 滤 策 略 。 


<USG> system-view 

[USG] sysname LNS 

[LNS] interface GigabitEthernet 0/0/1 

[LNS-GigabitEthernet0/0/1] ip address 192.168.2.1 255.255.255.0 
[LNS-GigabitEthernet0/0/1] quit 

[LNS] interface GigabitEthernet 0/0/0 

[LNS-GigabitEthernet0/0/0] ip address 192.168.1.1 255.255.255.0 
[LNS-GigabitEthernet0/0/0] quit 


Step 2 创建 虚拟 模板 Virtual-Template 并 配置 相关 信息 。 


[LNS] interface virtual-template 1 


[LNS-Virtual-Template1] ip address 192.168.0.1 255.255.255.0 
[LNS-Virtual-Template1] ppp authentication-mode chap 
[LNS-Virtual-Template1] quit 


Step 3 开局 L2TP。 
[LNS] l2tp enable 
Step 4 创建 并 配置 L2TP 组 。 


[LNS] l2tp-group 1 

[LNS-I2tp1] tunnel name LNS X 
[LNS-l2tp1] allow l2tp virtual-template 1 remote client1 

[LNS-l2tp1] tunnel authentication 

[LNS-I2tp1] tunnel password cipher Password123 


Step 5 配置 给 用 户 分 配 的 地 址 池 。 并 设置 用 户 名 及 口令 (应 号 出 差 员工 侧 的 设置 一 致 ) 。 


[LNS]aaa 

[LNS-aaa] ip pool 1 192.168.0.2 192.168.0.100 
[LNS-aaa] local-user vpdnuser password cipher Hello123 
[LNS-aaa] quit 


Step 6 配置 为 对 端 接口 分 配 IP 地 址 池 中 的 地 址 % 


[LNS] interface virtual-template. 1 
[LNS-Virtual-Template1] remote address pool 1 
[LNS-Virtual-Template1] quit 


Step 7 将 接口 加 入 安全 区 域 ， 并 配置 域 间 包 过 滤 。 


[LNC]firewall zone trust 

[LNC-zone-trust]add interface GigabitEthernet 0/0/0 
[LNC-zone-trustjadd interface virtual-template 1 
[LNC-zone-trust]quit 

[LNC]firewall zone untrust 

[LNC-zone-untrust]add interface GigabitEthernet 0/0/1 
[LNC=zone-untrust]quit 

[LNC]policy interzone untrust trust inbound 
[ENC-policy-interzone-trust-untrust-inbound]policy 0 
[LNC-policy-interzone-trust-untrust-inbound-Ojaction permit 


Step 8 配置 LAC 2z Aimo fE LAC EX E RRA A secoway VPN Client. Ex 


新 建 , — — 
EF 创建 一 个 新 的 连接 。 选 择 通 过 参数 创建 连接 ， 单 击 下 一 步 : 


IE ae BE Ee IPIE 
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Step 9 输入 服务 器 地 址 ， 即 LNS 端 地 址 ， 用 户 名 和 密码 (vednuser/Hellol23) , 3c 
成 后 单 击 下 一 步 。 


IE SE EET IPIE 
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Step 10 输入 隧道 名 称 (client1) 和 认证 模式 (CHAP) 。 勾 选 局 用 对 到 验证 功能 ， 并 
输入 隧道 验证 密码 (passwordl23) 。 完 成 L2tp 连接 创建 。 
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Step 11 点 击 创建 好 的 L2TP 连接 ， 单 击 “ 连 接 ”。 


a Secoway FPH Client 
THe) REE) SEV IA Heo 


=F ae X m hsr | (P=) mee 


FÆRT]: 0:00:00 FEU: 0 bytes Wk: bytes 





实验 步骤 -Web 


Step1 配置 LNS 3E, 设置 接口 IP 地 址 并 配置 域 间 包 过 滤 策略 。 选 择 “网络 > 接口 > 
接口 ”。 在 “接口 列表 ”中 ， 单 击 GE0/0/1 对 应 的 国 。 配 置 如 图 所 示 : 


#222 GigabitEthernet 


接口 省 称 

xil 

WP 军人 证 public 
SE E ie untrust 


© iH AER 
e) RESP DHCP e N- F OE 


NES 





Step 2 选择 “防火 墙 > 安全 策略 > AIR” . 4E “RARER CH. Bb 
*Untrust-»trus 下 的 “默认 ”所 在 行 的 国人 FEUER SERE" RH, XE 
FE “BNE” WA “permit” . Æ "trust -> untrus? 下 也 同样 修改 为 “permit”。 
得 安全 区 域 
目的 实生 区 域 
源 地 址 
目的 地 址 
HP 


服 乞 
时 间 段 
动作 





福安 全 区 域 
目的 安全 区 域 
iE 
目的 地 址 


时 上 国情 
动作 permit 





Step 3 配置 L2TP 人 参数。 选择 “VPN > L2TP > L2TP" , 在 “配置 L2TP” 中 ,选中 L2TP 
后 的 “启用 ”， 单 击 “ 应 用 ”。 





Step4 在 “L2TP 组 列表 ”中 ， 单 击 “ 新 建 天 ss 选择 “组 类 型 ”为 “LN3”。 单 击 “ 新 
建 ”， 新 建 用 户 vpdnuservHello 介 3。 如 图 所 示 。 


vpdnuser * 


* 
assesses 


E DET EM , E a S El T PAERFBBISTR : 
*A-;-, z3-f-, zx[-.0-, 特 琳 字符 ( tan! 293735755) ; 


ASS Be-E FH P ater FPF il, 
ATA TITI LIT., " 


Ar EEF 





Step/5、 配 置 其 余 L2TP 参数 。“ 对 端 隧道 名 称 ” 要 和 LAC 端 配置 的 “本 端 隧道 名 称 ” 
一 致 。 对 端 隧道 名 称 为 client1/Password123， 如 图 所 示 。 


ERRELE A i 
Se OPES 5 TT 
Exe SRL TIE 
EIE ER 
TELA PRELE E A 
FAP 28 


client 
uh 


default 


APS NR 


He Ss se HE 
FRA 

地 址 地 起 如 IP 
HAL ths TRIP 


re 


坪 清 时 间 | 
AV PES Lo fe 


«60-1000 


geil L.C PERCY 
Rel 强制 本 端 CHAP 认 证 





Step 7 配置 LAC 客户 端 。 该 步骤 与 CU 方式 配置 中 LAC 客户 端 配置 一 致 ， 请 参考 
CLI 配置 中 Step8 - Stepll., 


验证 结果 
配置 成 功 后 , SA VPNAR ERR, 分 别 在 LAC M LNS 上 执行 display I2tp 
tunnel 命令 可 发 现 隧 道 建立 成 功 。 以 上 NS 侧 的 显示 为 例 : 
[LNS] display l2tp tunnel 


Total tunnel = 1 
LocalTID RemoteTID RemoteAddress Port Sessions RemoteName 


1 1 192.168.2.2 1701 1 clienti 
LAC $317 display I2tp session 命令 可 看 到 会 话 连接 建立 情况 。 以 LNS 侧 的 显 


示 为 例 : 
[LNS] display l2tp session 


Total session = 1 


LocalSID RemoteSID  LocalTID 


| | | y 
在 使 用 Web 界面 进行 配置 时 , 选择 VPN» LZ2TP > 监控 ,查看 建立 起 的 L2tp 
会 话 信息 。 


i VPN > L2TP > 监控 » 
L2TP 通 道 监 控 列 表 
由 刷新 


ArH jE 1D 7S ID dmi / PPP 地 址 


对 东 地 址 /| PPP 地 址 


192.168.2.1/192.168.0.3 192.168.2.2 / 192.168.0.4 





9.2 GRE VPN 实验 
实验 目的 

通过 本 实验 ， 你 将 学 会 如 何 配置 GRE VPN. 
组 网 设备 


USG 防火 墙 一 合 ，PC 机 两 合 。 


实验 拓扑 图 





USG A USG B 









-— G0/0/l a 
Tunnel 0 ~ B 122.15.2.1/2A ^u Z3É Tunnel 0 
10.1.2.1/24 idet Goo! Pandi 10.1.3.1/24 
n m] 192.13.2.2/24 
G0/0/0 G0/0/0 
192.168.0.1/24 192.168.1174 
PCA PEB 
192.168.0.2/24 192:168.1.2/24 


实验 步骤 - CLI 
Step 1 配置 主机 IP 地址， 步骤 省 略 。 
Step 2 配置 防火 墙 接口 IP 地 址 。 


防火 墙 A 配置 

[USG_Alint GigabitEthernet 0/0/0 

[USG A-GigabitEthernet0/0/O]ip address 192.168.0.1 24 
[USG A-GigabitEthernetO/0/0]qu 

[USG_Al]int GigabitEthernet 0/0/1 

[USG A-GigabitEthernetO/0/1]ip add 192.13.2.1 30 
防火 场 B 配置 

[USG Bl]int GigabitEthernet 0/0/0 

[USG B-GigabitEthernet0/0/O]ip address 192.168.1.1 24 
[USG/ B-GigabitEthernet0/0/0]qu 

[USG BJint GigabitEthernet 0/0/1 

[USG B-GigabitEthernetO/0/1]ip add 192.13.2.2 30 


Step3 配置 接口 安全 区 域 并 配置 域 间 包 过 滤 策 略 。 


防火 墙 A 配置 

[USG Alfirewall zone trust 

[USG A-zone-trust|add interface GigabitEthernet 0/0/0 
[USG A-zone-trust]|quit 

[USG Ajfirewall zone untrust 

[USG_A-zone-untrust]add interface GigabitEthernet 0/0/1 


[USG A-zone-untrust]quit 

[USG Alfirewall packet-filter default permit interzone trust untrust direction 
outbound 

[USG Alfirewall packet-filter default permit interzone trust untrust direction 
inbound 

防火 场 B 配置 

[USG_B]firewall zone trust 

[USG B-zone-trustJadd interface GigabitEthernet 0/0/0 

[USG B-zone-trust]|quit 以 
[USG_B]firewall zone untrust 

[USG_B-zone-untrust]add interface GigabitEthernet 0/0/1 

[USG B-zone-untrust]quit 

[USG_B]firewall packet-filter default permit interzone trust untrust direction 
outbound 

[USG_B]firewall packet-filter default permit interzone trust untrust direction 
inbound 


Step 4 配置 tunnel 接口 。 并 将 tunnel 接口 加 入 untrust 区 域 。 


防火 墙 A 配置 

[USG_Alinterface Tunnel 0 

[USG A-TunnelO]tunnel-protocol gre 

[USG A-TunnelO]ip address 10.1.2.1 24 
[USG A-TunnelO]source 192.13.2.1 

[USG A-TunnelO]|destination 192.153.2.2 
[USG A-TunnelO]quit 

[USG Ajfirewall zone untrust 

[USG A-zone-untrust]add interface Tunnel 0 
[USG A-zone-untrust]quit 

防火 场 B 配置 

[USG_Blinterface Tunnel 0 

[USG B-TunnelO]tunnel-protocol gre 

[USG B-TunnelO]ip address 10.1.3.1 24 
[USG B-TunnelO]source 192.13.2.2 

[USG -B-TunnelO]destination 192.13.2.1 
[USG B-TunnelO]quit 

[USG Blfirewall zone untrust 

[USG B-zone-untrust]add interface Tunnel 0 
[USG B-zone-untrust]quit 


Step 5 配置 静态 路 由 。 


防火 场 A 配置 
[USG Alip route-static 192.168.1.0 24 Tunnel 0 


防火 场 B 配置 
[USG Blip route-static 192.168.0.0 24 Tunnel 0 


实验 步骤 - Web 
Step 1 配置 主机 IP 地 址 ， 步 又 省 略 。 


Step 2 配置 防火 墙 接口 IP 地 址 。 选 择 “ 网 络 > 接口 > 接口 ”。 在 “接口 列表 从 中 
单 击 各 接口 对 应 的 国 。 配 置 如 下 图 所 示 : 配置 完成 后 单 击 “ 应 用 ” 。 


Step 3 防火 场 A acs 
接口 名 称 
到 名 


VPN 实例 public 
"ese: de trust 


© iH AER 
e BRZP LIF OR PPPoE 


192.168 0 A IP 地 址 详细 配置 


接口 名 称 
Alls 


VPINSEEI ,public 
安全 区 域 untrust 


* E 


PPPoE 


IP BUTIETESBBO EE 





防火 场 B 配置 


接口 名 称 
xl 
VPN 实 例 public 
Se DE et trust 
e) fhe 


e SHIP PPPoE 


< | 


接口 名 称 

All 34 

vPNSEERI public 
安全 区 地 untrust 


® fh 
e Hae PPPoE 


IF 地 址 详细 配音 





Step 4 配置 域 间 包 过 滤 策 略 。/ 选 择 “防火 墙 > 安全 策略 > 转发 策略 ”。 选 择 “ 转 发 
策略 ”页 签 。 在 “转发 策略 列表 ”中 单 击 "下 。 配 置 如 下 图 所 示 : 配置 完成 后 
单 击 “应 用 ” à 


Bak SA 配置 


ise E de trust 
目的 安全 区 域 untrust 
PSEA VERE TEE n IPE 
目的 地 址 VERE TEE a, IPE 
VETE EE RE i^. FAP Ps 


请 选择 服务 


all 





防火 墙 B 配置 的 配置 与 人 A 相同。 


Step 5 配置 tunnel 接口 。 并 将 funnel 接口 加 入 untrust 区 域 。 选 择 “VPN > CRE > 
GRE” > Æ “GRE 接口 列表 ”中 ， 单 击 Se” . AS GRE 隧道 接口 参数 ， 
配置 如 下 图 所 示 : 


防火 墙 A 配置 
接口 名 称 Tunnel Q 
安全 区 域 untrust à 


IP 地 址 10 — 1 


HER d55 555 255. 
Reve IPBO ELA Ih (e) [PEE 
源 IP 地 址 p192 13 .2 


陵 道 目的 IP 配 置 方 式 e; IP 地址 


目的 IP 地 址 192 13 2 «ad 
Peeves foes 启用 


Pre aa F z(-42949867295- 


应 用 





防火 场 B 配置 


接口 名 称 Tunnel 0 
TE untrust 
IP 地 址 

HE 


隧道 源 IP 配 置 方式 
源 IP 地 址 
隧道 目的 IF 配置 方式 e; (Pritt 


目的 IF 地 址 192 13 .2 
EEN tE T] 局 用 
Fk e E SII RETE z(-4204057285* 





Step 6 配置 静态 路 由 。 选 择 “ 路 由 > 静态 > 静态 路 由 AN。 在 “静态 路 由 列表 ”中 ， 
单 击 “ 新 建 ”。 在 “新 建 静 态 路 由 ”界面 中 三 配置 如 下 图 所 示 : 


防火 场 A 配置 


下 一 点 和 接口 趟 甫 同时 当 至 


hd 


«1-255- 





Bak Sh B Ac 


TEE Tunnel 0 


IP Pink — NONE — 
TESEN B0 





验证 结果 


PCA 和 PCB 之 间 能 够 相互 ping 通 。 


X 
IPSec VPN 实验 


10.1 点 到 点 的 IPSec 隧道 实验 


wu 








ra TA. 
实验 目的 
掌握 点 对 点 方式 ， 两 端 设备 公 网 IP 地 址 固定 场景 下 IPSec VPN 基本 配置 。 
组 网 设备 
USG2200/5000 防火 墙 2 e. PC 机 (2 SA 
ra TA. 
实验 拓扑 图 
USG A 
GO/O/1 
].1.1-1/24 
GO/0/0 GO/0/0 
192:168.0.1/24 192.168.1.1/24 
Host 1 Host 2 





..192.168.0.2/04 — 192.168.1.2/24 


实验 步 又 一 CLI 
配置 USG_A 
Step 1 基础 配置 。 ( 略 ) 
Step 2 ME Trust 域 与 Untrust 域 的 域 间 缺 省 过 滤 规 则 。 


[USG_A] firewall packet-filter default permit interzone trust untrust direction 
inbound 

[USG_A] firewall packet-filter default permit interzone trust untrust direction), 
outbound 


Step3 配置 USG A 的 ACL， 定 义 要 保护 的 数据 流 。 


[USG_Alacl 3000 

[USG A-acl-adv-3000]rule permit ip source 192.168.0.0 0.0.0.255 destination 
1192.168.1.0 0.0.0.255 

[USG_A-acl-adv-3000]quit X 


Step 4 fii Ix vs TA o) TUE Ez B) SR Sur EH 
[USG_A] ip route-static 192.168.1.0 255.255.255.0 1.1.1:2 
Step 5 配置 IPyec 安全 提议 。 (第 过 条 命令 开始 为 缺 省 配置 可 以 不 用 配置 ) 


[USG A]ipsec proposal tran1 

[USG A-ipsec-proposal-tran1]encapsulation-mode tunnel 

[USG A-ipsec-proposal-tran1]transform esp 

[USG A-ipsec-proposal-traní]esp authentication-algorithm md5 
[USG A-ipsec-proposal-tran1]esp encryption-algorithm des 
[USG A-ipsec-proposal-tran1]quit 


Step 6 配置 IKE 安全 提议 。 (第 2 条 命令 开 始 为 缺 省 配置 可 以 不 用 配置 ) 


[USG A]ike proposal 10 

[USG A-ike-proposal-10] authentication-method pre-share 
[USG A-ike-proposal-10] authentication-algorithm sha1 
[USG A-ike-proposal-10] integrity-algorithm hmac-sha1-96 
[USG A-ike-proposal-10] quit 


Step7 fics IKE peer. 


[USG Alike peer b 

[USG .A-ike-peer-b]ike-proposal 10 
[USG_A-ike-peer-b]remote-address 1.1.1.2 
[USG A-ike-peer-b]pre-shared-key abcde 
[USG“A-ike-peer-b]quit 


Step 8 配置 安全 策略 。 


[USG A]ipsec policy map1 10 isakmp 

[USG A-ipsec-policy-isakmp-map1 -10] security acl 3000 
[USG A-ipsec-policy-isakmp-map1 -10] proposal tran1 
[USG A-ipsec-policy-isakmp-map1 -10] ike-peer b 

[USG A-ipsec-policy-manual-map1 -10] quit 


Step 9 在 接口 上 引用 安全 策略 。 


[USG A]interface GigabitEthernet 0/0/1 
[USG A-GigabitEthernetO/0/1] ipsec policy map1 


配置 USG_B 


Step 10 


Step 11 


Step 12 


Step 13 


Step 14 


Step 15 


Step 16 


基础 配置 。 ( 略 ) 
配置 Trust 域 与 Untrust 域 的 域 间 缺 省 过 滤 规 则 。 


[USG B] firewall packet-filter default permit interzone trust untrust direction 
inbound 

[USG B] firewall packet-filter default permit interzone trust. untrust direction 
outbound 


配置 U3G_B 的 ACL， 定 义 要 保护 的 数据 流 。 


[USG_Bljacl 3000 

[USG B-acl-adv-3000]rule permit ip source 192.168.1.0 0.0.0.255 destination 
1192.168.0.0 0.0.00.255 

[USG B-acl-adv-3000]quit 


Fic 8L FXS vm A PON Ped E AY SR SER EH 
[USG_B] ip route-static 192.168.0.0.255.255.255.0 1.1.1.1 
Ate IPSec 安全 提议 。 (第 2 条 命令 开始 力 缺 省 配置 可 以 不 用 配置 ) 


[USG B]ipsec proposal tran1 

[USG B-ipsec-proposal-tran1]encapsulation-mode tunnel 

[USG B-ipsec-proposal-tran1]|transform esp 

[USG B-ipsec-proposal-traní]esp authentication-algorithm md5 
[USG B-ipsec-proposal-traní]esp encryption-algorithm des 
[USG B-ipsec-proposal-tran1]quit 


配置 IKE 安全 提议 。 (58 2 条 命令 开始 为 缺 省 配置 可 以 不 用 配置 ) 


[USG_B] ikesproposal 10 

[USG_B-ike-proposal-10] authentication-method pre-share 
[USG B-ike-proposal-10] authentication-algorithm shat 
[USG. B-ike-proposal-10] integrity-algorithm hmac-sha1-96 
[USG_B-ike-proposal-10] quit 


配置 IKE peer. 


[USG_Blike peer a 

[USG B-ike-peer-b]ike-proposal 10 

[USG B-ike-peer-b]remote-address 1.1.1.1 
[USG B-ike-peer-b]pre-shared-key abcde 
[USG B-ike-peer-b]quit 


Step 17. 配置 安全 策略 。 
[USG B]ipsec policy map1 10 isakmp 
[USG B-ipsec-policy-isakmp-map1 -10] security acl 3000 
[USG B-ipsec-policy-isakmp-map1 -10] proposal tran1 
[USG B-ipsec-policy-isakmp-map1 -10] ike-peer a O 
[USG B-ipsec-policy-manual-map1 -10] quit (J 
Step 18 接口 上 引用 安全 策略 。 
[USG B] interface GigabitEthernet 0/0/1 
[USG B-GigabitEthernetO/0/1] ipsec policy map1 


验 步 又 - Web 





外 


USG A 配置 
Step 1 基础 配置 。 (上 略 ) 


Step 2 配置 Trust 域 与 Untrust 域 的 域 间 缺 省 过 滤 规 则 和 NELOCq| 安全 区 域 和 Untrust 
安全 区 域 之 间 的 安全 策略 。 


ú 防火墙 安全 第 略 > THAR > 
对 设备 访问 控制 列表 AO 


SPRE 36 HRS C mir || any zone v| S gig | 国 高 级 查询 
ID 源 地 址 a NUES 


E trust 


IJ untrust 


EA Lh 


permit 


HL E PERU ` 


HE E -— ~ 
FPA 38 me Maitia CB r | any zone —>| any zone Q aia | 图 高 级 查 词 
ID Eb / 目的 地 址 用 户 服务 时 间 段 动作 策略 内 容 


G untrust-»trust 
EKIA, A any w/ 


3 trust->whtrust 


ZA Naty 





Step NEE Su XY vis RA DO 9) Ez AN S SER EH 


I" " m 
i To > fa > BH > 
/ , / 


ir E ER s BH 
目的 地 址 192 168 1 0 | 


Ting 255 255 255 0 |* 


下 一 时 1 .1 .1 .2 | 下 一 跳 和 接口 天上 能 同时 为 空 
接口 — NONE — 

IP Link& — NONE — TN 

tack 60 X 所 1-255= 


| BN | xm | 
Step 4 MA IKE 阶段 1 和 阶段 2。 选择 “VPN > IPSec > IKE MI" o ER "BEER 1” © 


在 “新 建 阶段 1” 界面 中 ,配置 阶段 1 S% Hp BD abcde. 
单 击 “ 应 用 ”。 





i VPN > IPSec > IKE > 
新 建 阶段 1 
DIEN 
版 本 OM (@ V1 and V2 
协商 模式 , (e) 去 模 式 ,野蛮 模式 
本 地 ID 类 型 RN 


MERE TIT 


对 应 网 关 配 置 方式 指定 对 端 网 关 
?下山 网 关 VPN 实 例 | public 

xi ipeo IP 1 1 
stitch Eug 


public 








Step 5 Sit "e a" WEKT, 6IEEIKE 阶段 2。 在 “新 建 阶段 RAH, Bo: 
阶段 2 参数 单 击 “ 应 用 ” 。 


i VPN > IPSec > IKEI > 


阶段 2 policy’ 

BERT [ike a 

备份 阶段 1 不 指定 备份 阶段 1 
本 庙 网 关 IP 

-p 高 级 














Step 6 应 用 IPSec 策略 。 选 择 “VPN > IPSec> IPSec 策略 ”。 单 吉利 新 建 ”。 在 
“Aide IPSec 策略 界面 中 , 配置 需要 IPSec 隧道 保护 的 数据 尝 5 单 击 ` 应 用 o 


if VPN » IPSec » IPSe celia » 

新 建 IP Sec Hi 
IPSecsiR palicy1-1 e. cr. [x] 
SB E x. (e, 指定 数据 注 ( ? L2TP over IPSec 
seti DX sje 
目的 地 址 192 469-1024 He 
服务 2M 


动作 permit 








Step 7 将 IPSec 策 略 与 接口 绑 定 3 选 择 “VPN > IPSec > IPSec 策略 ”。 单 击 “policy1” 
后 的 “应 用 接口 :- NONB” o ETAJ RAA GE0/0/1。 单 击 “ 应 用 ”。 


if VPN > IPSec > IPSec > 


Dc, OH 
IPSec 策略 列表 A 
op 212 OS maps RET | NEHA IPSec S 


源 地 址 N ~ 目的 地 址 


Bl policy1 ERE] Je NONE - (1 Item) 


192 158.1.000.0.0.255 





醒 直 应 用 的 接口 


GEO 





USG_B 配置 与 USGA 类 似 ， 仅 需要 修改 静态 路 由 、 对 端 网 天 IP AFR IPSec B 
道 保 护 的 数据 流 相 应 的 IP 地 址 即 可 ， 具 体 实验 步骤 略 。 


验证 结果 
配置 成 功 后 , 从 PCA 可 以 ping 通 PCB ,分 别 在 USG A 和 USG-B -F 执行 display ike 
sa. display ipsec sa 会 显示 安全 联盟 的 建立 情况 。 以 USG_B 为 例 ， 出 现 以 下 显示 
信息 说 明 IKE Ze HEBR. IPSec 安全 联盟 建立 成 功 。 
<USG B> display ike sa 


current ike sa number: 2 


conn-id peer flag phase vpn 
101 ll RD v2:2 public 
100 TII RD v2:1 public 


flag meaning 
RD--READY ST--STAYALIVE © RL--REPLACED FD--FADING 
TO--TIMEOUT TD--DELETING NEG--NEGOTIATING D--DPD 


10.2 点 到 多 点 IPSec 隧道 实 


实验 目的 


掌握 点 到 多 点 (总 部 到 多 个 分 支 机 构 组 网 )， 分 支 机 构 IP 地 址 不 固定 的 场景 下 ， 总 部 
通过 IKE 安全 策略 模板 方式 ,分 文 机 构 通 过 IKE 安全 策略 方式 建立 IPsec 隧道 的 配置 方法 。 


组 网 设备 
USG2200/5000 防火 墙 3 台 ， 路 由 器 或 三 层 交 换 机 1 人 台 ，PC 机 3 A. 


IE 


实验 拓扑 图 


G0/0/1 
202.38. 1692/24 2/24 


USG B 









USG A 





G0/0/0 E 
10.1.2.1/24 A 









202.38.163. €x 














G0/0/O 
OF 10.1.1.1/24 ELO OE E 
a G0/0/1 €», 38.170.1/24 10.1.2.2/24 
pC1 202.38.163.2/24 
10.1.1.2/24 











G0/0/1 


G0/0/0 
10.1.3.1/24 
oF 
202.38.170.2/24 


G_C PC 1 
seeTymnel2 s | 1013204 


SE: USG B All USG C 所 在 分 支 机 构 公 网 IP 地 址 为 动态 获取 ， 本 实验 中 为 方便 组 网 配 
Sale IP 地 址 。 





实验 步骤 - CLI 
配置 USG_A 
Step 1 基础 配置 。 〈 略 ) 
Step 2 配置 到 达 分 支 机 构 的 静态 路 由 ， 此 处 假设 下 一 跳 地 址 为 202.38.163.1。 


[USG_A] ip route-static 10.1.2.0 255.255.255.0 202.38.163.1 
[USG_A] ip route-static 10:1.3.0 255.255.255.0 202.38.163.1 


Step 3 EMIRATE e 


[USG A] acl 3000 

[USG A-acl-adv-3000] rule permit ip source 10.1.1.0 0.0.0.255 destination 
10.1.2.0 0.0.0.255 

[USG A-acl-adv-3000] rule permit ip source 10.1.1.0 0.0.0.255 destination 
10.1.3.0 0,0.0,255 

[USG A-acl-adv-3000] quit 


Step 4 配置 名 称 为 iran1 的 IPyec 安全 提议 。 (F 2 条 命令 开始 为 缺 省 配置 可 以 不 
用 配置 ) 


[USG Aljipsec proposal tran1 

[USG A-ipsec-proposal-tran1] encapsulation-mode tunnel 

[USG A-ipsec-proposal-tran1] transform esp 

[USG A-ipsec-proposal-tran1] esp authentication-algorithm md5 
[USG A-ipsec-proposal-tran1] esp encryption-algorithm des 
[USG A-ipsec-proposal-tran1] quit 


Step 5 配置 序号 为 10 的 IKE 安全 提议 。( 第 2 条 命令 开始 为 缺 省 配置 可 以 不 用 配置 ) 


Step 6 


Step 7 


Step 8 


Step 9 


[USG A]ike proposal 10 

[USG A-ike-proposal-10] authentication-method pre-share 
[USG A-ike-proposal-10] authentication-algorithm sha1 
[USG A-ike-proposal-10] quit 

配置 名 称 为 b Ay IKE Peer. 

[USG A]ike peer b 

[USG A-ike-peer-b] ike-proposal 10 

[USG A-ike-peer-b] pre-shared-key abcde V 
[USG A-ike-peer-b] quit 

配置 名 称 为 map. temp 序号 为 1 Bg IPSec 安全 策略 模板 。 
[USG A]ipsec policy-template map temp 1 

[USG A-ipsec-policy-templet-map temp-1] security acl 3000 
[USG A-ipsec-policy-templet-map temp-1] proposal trant 
[USG A-ipsec-policy-templet-map temp-1] ike-peer b 

[USG A-ipsec-policy-templet-map temp-1] quit 

ft IPSec 安全 策略 map! 中 引用 安全 策略 模板 map_temp。 
[USG A]ipsec policy map1 10 isakmp template map temp 
在 接口 GigabitEthernet 0/0/1 上 应 用 安全 策略 maple 
[USG_A] interface GigabitEthernet 0/0/1 


[USG A-GigabitEthernet0/0/2] ipsec policy map1 
[USG A-GigabitEthernet0/0/2] quit 


配置 USG_B 


Step 10 


Step 11 


Step 12 


Step 13 


基础 配置 。 (上 略 ) 

配置 到 达 总 部 和 其 他 私 网 的 静态 路 由 ， 下 一 跳 地 址 为 202.38.169.1. 
[USG_B] ip route-static 0.0.0.0 0.0.0.0 202.38.169.1 

EX RIP NET e 

[USGsB] acl 3000 

[USG_B-acl-adv-3000] rule permit ip source 10.1.2.0 0.0.0.255 destination 


10.1.10 0.0.255.255 
[USG  B-acl-adv-3000] quit 


配置 名 称 为 tran1 ay IPSec 安全 提议 。 《第 2 条 命令 开始 为 缺 省 配置 可 以 不 
用 配置 ) 


[USG B]ipsec proposal tran1 

[USG B-ipsec-proposal-tran1] encapsulation-mode tunnel 

[USG B-ipsec-proposal-tran1] transform esp 

[USG B-ipsec-proposal-tran1] esp authentication-algorithm md5 


[USG B-ipsec-proposal-tran1] esp encryption-algorithm des 
[USG B-ipsec-proposal-tran1] quit 


Step 14 配置 序号 为 10 的 IKE 安全 提议 。( 第 2 条 命令 开始 为 缺 省 配置 可 以 不 用 配置 ) 


[USG B]ike proposal 10 

[USG B-ike-proposal-10] authentication-method pre-share 
[USG B-ike-proposal-10] authentication-algorithm md5 
[USG B-ike-proposal-10] quit 


Step 15 MA IKE Peer. 


[USG_B] ike peer a 
[USG_B-ike-peer-a] ike-proposal 10 
[USG_B-ike-peer-a] remote-address 202.38.163.1 
[USG B-ike-peer-a] pre-shared-key abcde 
[USG B-ike-peer-a] quit 
Step 16 配置 名 称 为 mapli 序号 为 10 的 IPSec 安全 策略 ks 
[USG_B] ipsec policy map1 10 isakmp 
[USG B-ipsec-policy-isakmp-map1 -10] security acl 3000 
[USG B-ipsec-policy-isakmp-map1 -10] proposal tran1 
[USG B-ipsec-policy-isakmp-map1 -10] ike-peer a 
[USG B-ipsec-policy-isakmp-map1-10] quit 
Step 17 4 GigabitEthernet 0/0/1% 接 加 上 应 用 安全 策略 mapl。 
[USG B]interface GigabitEthernet 0/0/1 
[USG B-GigabitEthernet0/0/2] ipsec policy map1 
[USG B-GigabitEthernet0/0/2] quit 
配置 USG_C。 


Step 18 基础 配置 。 (HE) 

Step 19 配置 到 达 总 部 和 其 他 私 网 的 静态 路 由 ， 下 一 跳 地 址 为 202.38.170.1。 
[USG' C] ip route-static 0.0.0.0 0.0.0.0 202.38.170.1 

Step 20 定义 被 保护 的 数据 流 。 


[USG_C] acl 3000 

[USG C-acl-adv-3000] rule permit ip source 10.1.3.0 0.0.0.255 destination 
10.1.1.0 0.0.255.255 

[USG C-acl-adv-3000] quit 


Step21 配置 名 称 为 an1 的 IPSec 安全 提议 。 (第 2 条 命令 开始 为 缺 省 配置 可 以 不 
用 配置 ) 


[USG C] ipsec proposal tran1 
[USG C-ipsec-proposal-tran1] encapsulation-mode tunnel 


[USG C-ipsec-proposal-tran1] transform esp 
[USG C-ipsec-proposal-tran1] esp authentication-algorithm md5 
[USG C-ipsec-proposal-tran1] esp encryption-algorithm des 
[USG C-ipsec-proposal-tran1] quit 
Step 22. 配置 序号 为 10 的 IKE 安全 提议 。( 第 2 条 命令 开始 为 缺 省 配置 可 以 不 用 配置 ) 
[USG C] ike proposal 10 
[USG C-ike-proposal-10] authentication-method pre-share 
[USG C-ike-proposal-10] authentication-algorithm md5 V 
[USG C-ike-proposal-10] quit 
Step 23 MA IKE Peer. 


[USG_C] ike peer a 

[USG_C-ike-peer-a] ike-proposal 10 
[USG_C-ike-peer-a] remote-address 202.38.163.1 
[USG_C-ike-peer-a] pre-shared-key abcde 
[USG_C-ike-peer-a] quit 


Step 24 配置 名 称 为 mapli 序号 为 10 的 IPSec 安全 策略 。 


[USG_C] ipsec policy map1 10 isakmp 

[USG C-ipsec-policy-isakmp-map1 -10] security acl 3000 
[USG C-ipsec-policy-isakmp-map1-10] proposal trant 
[USG C-ipsec-policy-isakmp-map1 -10] ike-peer a 

[USG C-ipsec-policy-isakmp-map1 -10] quit 


Step25 在 GigabitEthernet 0/0/1 EE L1. EN FH] $E maple 


[USG C] interface GigabitEthernet 0/0/1 
[USG_C-GigabitEthernet0/0/2] ipsec policy map1 
[USG C-GigabitEthernet0/0/2] quit 


实验 步骤 - Web 


USG A 配置 


+ 


Step1 finde. (HR) 


Step 2 MA Trust 5 Untrust RAR ARE WAL A Local 安全 区 域 和 Untrust 
安全 区 域 之 间 的 安全 策略 。 


Lors > 安全 策略 » toe oa » 


转发 策略 列表 
中 新 建 36 wipe 器 清除 全 部 命中 次 数 OY RIT || any zone 
i 源 地 址 目的 地 址 用 户 


G untrust->trust 
SA any 
3 trust-»untrust 


SA any 


LE E AE > 


对 设备 访问 控制 列表 
中 新 建 3€ mp C mim || any zone 
E ID dor 
Gl trust 

SERA any 
SB untrust 


SERA. any 


SE Bs H 


LEN AN 静态 POEH > 


目的 地 址 
LIE 
BBE 
接口 

IP Links 
AR 


202 36 _ 163 1 


|202 38 463 1 


4. 


Qm masma (O 
时 间 段 。 aF ZRG 


»- (7 


G, zig AEREA 


0 1 3 0 | 


255 255 255 0 |* 

FBO RE 
—— NONE 一 一 

—— NONE 一 一 


60 |*1-255- 


| BB | | 5 加 | 


0 1 2 0 


955 255 255 0 b 





BES OF Bis E] AES 
— NONE 一 
— NONE — 


60 |«1-255» 





|^ EB || 6a 


Step 4 MAIKE 阶段 1 和 阶段 2。 选 择 “VPN > IPSec» IKE 协商 ”。 iG "BEER 1” © 
在 “新 建 阶段 1” 界面 中 , 配置 阶段 1 参数 , 其 中 “ 预 共享 密 钥 ” 设置 为 aobcde 
单 击 “应 用 ” ` 


e VPN > IPSec > IKE 协 商 、 


新 建 阶 段 1 
Eire 1 ike temp " 
he Ons Ov (œ V1 and V2 
协 疝 模式 * ciu PTET, 
本 地 ID 关 型 IP 
ptt Ser LELLE] 
mB 不 指定 对 新 网 天 
POC aee BEES 
VPNSCIESI public 
D ak — 





Step5 Sch "ike temp" SANT, e6JEEIKEETER 2. 在 “新 建 阶段 2” 界 面 中 ， 
配置 阶段 2 参数 ， 单 击 “ 应 用 ” 气 


if VPN » IPSec > IKE 协 商 ^ 


*«1-10000- 





Step 6 应 用 IPSec 策略 。 选 择 “VPN >IPSec> IPSec 策略 ”。 Hub “BE” . 在 
“新建 IPsec 策略 界面 中 ,配置 需要 IPSec 隧道 保护 的 数据 流 , 单 击 “ 应 用 ”。 


if VPN > IPSec ^ IPSec 第 略 > 


新 XE Ru le 


IPSecs RR 

erg 33. e JEENE 
Pihi 
目的 地 址 
服务 
动作 


L2TP over IPSec 
10.1.1.0/24 

10.1.2.0/24 

ip 


permit 





Step7 单 击 “mqp-1” 后 对 应 的 下 ， 添 加 策略 规则 。 单 击 "fj" . 配置 完成 后 ， 
同一 条 1PSec 策略 mqp-1 中 存在 两 条 受 保 护 数 据 流 。 
if VPN » IPSec > IPSec 第 略 ^ 
IP Sect Bp SS 
中 新 建 Sme CB mim || us IPSecERDESR 
Je ddl 目的 地 村 
map 应 用 接口 : - NONE - (2 Items) 


10.1.1.040.0.0.255 10.1.2.040.0.0.255 
10.1.1.040.0.0.255 10.1.3.040.0.0.255 


[5S d | me dou 


permit 
permit 





Step 8 将 IPSec 策略 与 接口 绑 定 。 选 择 “YPN > IPSec > IPSec 策略”。 单 击 “map-1” 
后 的 “应 用 接口 : - NONE-“ 所 在 下 拉 列 表 中 选择 GEO/O/1. Si NRI. 


醒 直 应 用 的 接口 


GED 





USG.B 配置 
Step 9 基础 配置 。 (HE) 


Step 10 配置 Trust 域 与 Untrust 域 的 域 间 缺 省 过 滤 规 则 和 Local 安全 区 域 和 Untrust 
安全 区 域 之 间 的 安全 策略 。 


I 和 ”防火墙 安全 第 蜀 > Wami > 


HERRIE 
中 新 建 Nme Dareia W RET | any zone [y] ->| any zone Q zig | Gara d 
ID 源 地 址 目的 地 址 用 户 服务 时 间 段 动作 "RIS PI 


G untrust->trust 


SA any i permit C 2 


3 trust--untrust 
Sh 
ie = Bh ` 安生 策略 5 EE N 


对 设备 访问 控制 列表 
中 新 建 3€ mp T BET | any zone Gaia | Geka 


ID JE heht 服务 


EAT 


IJ untrust 





Step 11 配置 到 对 端 私 网 网 段 的 静态 路 由 
LE NM Bo 静态 路 由 ， 
EE SH 
100 1 1 .0 | 
955 255 255 0 | 


202 38 169 1 | 下 一 跳 和 接口 不 能 同时 为 空 


— NONE — 
— NONE — iv] 


60 x1-255- 


| ER || XB | 





Step 12. Keg IKE 阶段 1 和 阶段 2。 选择 “VPN > IPSec > IKE 协商 o ERR “BER I” o 
WEE VRET, RENE 1 参数 ,其 中 “ 预 共 享 密 铀 ”设置 为 abcde。 
第 击 “应 用 ”。 


© VPN > IPSec > IKE 协 商 > 


fe PER Fe 1 
阶段 1 , 
hia (OM (2 v2 (e) V1 and V2 
协商 模式 ( (o grada 
本 地 ID 类 型 
预 共享 密 钥 
temp Bet 
tempol E VPNSc ÝI 
niim IP 
xs Hn ETE] 
VPNS3CEI 
_ zm 








Step 13 Sd; "ike o" WAU, SUE IKE 阶段 六 。 在 “新 建 阶段 2” 界 面 中 ， 配 置 
阶段 2 参数 。 单 击 “ 应 用 o 


if VPN IPSec > IKE 协 商 > 


wm 


B2 | t- *«1-10000- 
阶段 1 


&inpifed 不 指定 备份 阶段 1 
mpl" 
-四 sS». 



































Step 14 应 用 IPsec 策略 。 选 择 “VPN > IPyec> IPSec 策略 ”。 单 击 “ 新 建 ”。 在 
Bie IPSEC 策略 ”界面 中 , 配置 需要 IPSec 隧道 保护 的 数据 流 。 单 击 “ 应 用 ”。 


e VPN ^ IPSec > IPSeciERR > 
SIP Sec ti BE 


|IPSeccaiz map-1 
dri. e tes ies L2TP over IPSec 


Terr 10.1.2.0/24 v) 


目的 地 址 10.1.1.0/24 
服务 
动作 





Step 15 将 IPSec 策略 与 接口 绑 定 。 选 择 “VPN > IPSec > IPSec 单 击 “map-1” 
后 的 “应 用 接口 : - NONE- ”。 在 下 拉 列 表 中 选择 GEO/O/1. 单 击 “应 用 ”。 


醒 直 应 用 的 接口 


GEO 





USC C 配置 与 U3SG_B XH, (URS ERE Rap ANS A Fa EZ IPSEC 隧道 保护 的 数 
据 流 相应 的 IP 地 址 即 可 ， 具 体 实验 步骤 略 。 


验证 结果 


ft PC2 和 PC3 E533 ping PC1， 都 可 以 ping 通 。 
分 别 在 USG_A、USG_B 和 USG_C 上 执行 display ike sa. display ipsec sa， 显 示 安 
全 联盟 的 建 人 情况 。 
以 USG_B 为 例 全 出 现 以 下 显示 说 明 IKE 安全 联盟 、IPSec 安全 联盟 建立 成 功 。 
«USG B- display ike sa 
current ike sa number: 2 


101 202.38.163.2 RD|ST v2:2 public 
100 202.38.163.2 RD|ST v2:1 public 
flag meaning 


RD--READY ST--STAYALIVE RL--REPLACED FD--FADING 


TO-TIMEOUT TD--DELETING NEG--NEGOTIATING D--DPD 
«USG B» display ipsec sa 


IPsec policy name: "map1" 
sequence number: 10 
mode: isakmp 


vpn: public 


connection id: 4 

rule number: 0 

encapsulation mode: tunnel 

tunnel local : 202.38.169.2 tunnel remote: 202.38:163.2 
flow source: 10.1.2.0-10.1.2.255 0-65535.0 

flow destination: 10.1.1.0-10.1.1.255 0-65535:0 


[inbound ESP SAs] 
spi: 7519344 (0x72bc70) 
vpn: public said: 8  cpuid;0x0000 
proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5 
sa remaining key duration-(bytes/sec): 1887436044/3572 
max received sequence-number: 9 
udp encapsulation used for nat traversal: N 


[outbound ESP SAs] 
spi: 5365969 (0x516e0d1) 
vpn: public said: 9 cpuid: 0x0000 
proposal: ESP-ENCRYPT-DES ESP-AUTH-MD5 
sa remaining key duration (bytes/sec): 1887435576/3572 
max sent sequence-number: 10 
udp encapsulation used for nat traversal: N 


11 SSL VPN 综合 实验 


11.1 Web 18/x. fF3E zz /um 158 22/ Dol 283] 展 


实验 目的 


通过 本 次 实验 ， 你 将 能 够 学 会 配置 以 下 功能 : 


e Web 代理 
e 端口 转发 
。 文 件 共享 
e 网 络 扩展 
组 网 设备 
PC HLAS, USG 防火 墙 一 合 。 
实验 拓扑 图 






m G0/0/1 
8 192.168.1.1/24 








Server 


PCI. 
10.10.10.9/24 DM 192.168.1.10/24 
实验 步骤 
Step 1 创建 虚拟 网 天 。 
选择 VPN>SSL VPN> 虚 拟 网 关 管 理 , 点 击 TA 新 建 一 个 虚拟 网 关 , 并 取 名 


为 “Test”。 


i VPN > SSLVPN > 虚拟 网 关 管理 


Ed Expo Test * FE, BFE PA., 1-08 DER 

Heil PS See Jhd v 

IF 地 址 10. 10 10 10| | 添加 IP 地 址 

EH Fio dem TA: ww wiw.company.com(itp S4), wti. company. comt ze S1) » www company. comda iea } 
HTTPGEIHI O 启用 HTTP 重 定向 服务 

RAF RA PSY 1-100, 点 让. 汶 了 系统 限额 GREER: 100， 当 前 剩余 可 用 并 炭 用 户 数 : 100) 

AA PSE * 11000, EAU Ap 【系统 限额 : 1000. Sasa AAP ET : 1000) 

AST * 11024, BALA AT (系统 限额 : 1024, 当前 剩余 可 用 资源 将 : 1024) 


| A | 2m | 


e VPN® SSLVPN > 虚 执 网 关 列 表 > 


Ee it) PAF 虚拟 网 关 详 细 信 息 


国 S 虚拟 网 关 列 表 Real From 
£3 Lj test il E AERE 

IP 地 址 
虚拟 网 关 域 名 
HTTP 重 定向 
最 大 并 发 用 户 数 
fe AFA Pee 
ABST 
ERER |e] 2013/06/14 16:46:43 





Step 3 $$ RH PKS. RENIN "lest" 前面 的 加 号 ， 展 开 列 表 ， 选 择 


VPNDB Wg, g PHE 新 建 一 个 测试 用 户 TestUser， 密 码 为 
password 123。 


i VPN > SSLVPN© 虚拟 同 关 列表 


国 € HH PCS 


TAA EA 
UID 

GID 
虚拟 IP 地 址 


ao WPNDB 配 置 > 
o + AAE 














Step 4 局 用 Web RERS. AEA RA "Test" RWIS, RAFIR, 
选择 Web 代理 ， 勾 选 “局 用 ”并 应 用 该 设置 。 


if VPN ^» SSLVPN > 虚 扒 网 关 列表 、 


Ee PA Ea Webft## + 


C 虚 扒 网关 列表 Webth## 
J test BH vveptEXBIBBE 
a Hna 


o 对 SL 配置 WebTCTPVE BEI 
o AIEEE WebJlink 资 源 | 资源 给 ， 


o REAC > Ne 
a VPNDBBPE Tr Pee OS ms Cu PR m 
[] us 


o + AHALE 
Web 代理 
o Viu 

o mOFE 

o Pegi E 

o HEB 

o ERMIT 

o EHE SEP 





在 Web 代理 资源 管理 中 ， 在 web-ink ZUR FR, At WBE 新 建 一 个 Web tt 
理 资源 并 将 其 应 用 。 


SB Test Web Server * 1~63 个 字样 ;一 个 祝 宇 占 6 个 字符 

站 中 链接 

URL httpwww.test.com| * AAT tF” SL httpilvww w.abc.co 
TUF TT 1e [ | 自动 预 解析 


资源 措 述 [ttre SEO ER 


Esl 























x 

















Step5 启用 文件 共享 服务 。 


点 击 新 建 的 虚拟 网 关 “Test” 前 面 的 加 号 ， 展 开 列表 ， 选 择 文件 共享 。 Ait 
“启用 ”， 并 应 用 该 设置 。 


© VPN > SSLVPN EIE > 


C3 RTE doe mula 立 件 共享 
C3 test 
a FiA 
a SSLBPE Wi vp EID 
sian 十 新 建 器 删除 TO mi 
o REAC 
a VPNDBBEB 
a VHRESHBOET 
o Web E 
o Wf p 
a tm Oye 
a Hli E 
o Be e Es 
o 芷 线 监控 
o EEHpIiEIe 


E Fr ne 





在 文件 共享 资源 管理 列表 中 ， 点 击 WME gets IITA 


FileShareTest * 1~31 个 宇和 罕 PSEA epee 
j492.168.1.fü/share| |« 格式 : phi EHS EASE. Set: 
SMB ws 


| og N\ | 资源 其 术 长 度 下 由 过 55 个 宇 符 ， 一 个 汉 宇 占 6 个 字符 


应 用 || XH 



































Step 6 局 用 端口 转发 服务 s 


点 击 新 建 的 虚拟 网 天 “Test” 前 面 的 加 号 ， 展 开 列 表 ， 选 择 端 口 转发 。 户 用 端 
口 转发 服务 并 应 用 。 


i VPN SSLVPN > 虚拟 网 关 列 表 > 
i r r 


C test ui oe 
AAO se Dae | 
o PiE g 


[]& Pm Baths FB 
a SSLBEE 


o AU Mace 
o 第 路 配置 moe HEH + 
a VPNDBBER 

o VHBERHBOE 

o Web tt 

o VAS 

o mx 上 

o Hli He op 新 建 Shp CÓ 刷新 
o 日志 管理 [] aBa) 


a Tea : ~ - 


o 虚拟 网 关 维 护 A 


[iiid 





在 端口 转发 资源 管理 中 ， 点 击 TUS 添加 新 的 端口 转发 资源 并 应 用 设置 。 


资源 名 PortForwardingTest |= 1-31 个 字符 ， 一 个 汉字 占 6 个 字符 
主机 地 址 类 型 主机 TP 地 和 v 


主机 IF 地 址 


im] 8 * sm 80 
资源 描述 hé ^C —— [| 资产 描述 长 度 不 超过 ss 个 字符 ， 一 个 汉字 占 6 个 字符 
ER || 3X 



































Step 7 局 用 网 络 护 展 服务 。 


点 击 新 建 的 虚拟 网 天 “Test” 前 面 的 加 号 , 展开 列表 , 选择 网 络 扩展 。 勾 选 “ 局 
用 ”。 


"e VPN 5 SSLVPN > 虚 抽 网 关 列表 > 


c3 虚 抽 网 闫 列表 同 络 扩 展 
3 test 启用 网 络 扩展 功能 


门 保持 连接 


o SOLACE |] BR zh eo 
日 认证 把 加 配置 
pu PaPa An. 


a FE 


a VPNDBBOCE 

a PHHEPBSHHDEI 

o Webft®? IP CHESTER T 

o VUA 

im Pe te 

o HFE » 

Hem SF rab HH 73 3. 


o TRE QUSS. 


C 全 路 出 模式 
虚拟 网 关 锥 护 
À C) Psi 


在 客户 端 IP 分 配方 式 中 使 用 IP 地 址 池 方 式 。 设 置 好 起 始 地 址 和 结束 地 址 。 
(192.168.1.20/24 — 192.168.1.30/24) 








Ps IPS sh b d 
起 如 地 址 192.158. 1 . 20 |* 
si se Hit 
IF 地址 池 方 式 子 网 撞 玛 
掩 码 尖 16-30 位 ， 即 255.255.0.0~-255.255.255.252 之 间 
VRRP VRI | ] reat, 取 值 范围 -2ss。 
选择 分 离 模式 作为 客 Amish, 其余 的 配置 为 默认 配置 。 最 后 应 用 设置 并 
保存 所 有 配置 。 


PEE, 一 六 


CO SEES, 
OFE 


FAP aR IP St BTS 


全 清除 平 在 新 地 址 范围 内 的 用 户 虚 拟 IF O 清除 所 有 用 户 虚 所 IF © 保留 所 有 用 户 虚 拟 IP 


应 用 





在 浏览 器 中 输入 https://10.10.10.10 进入 SVN SSLVPN 界面 ， 使 用 创建 的 测 
试 账 号 进行 登录 。 


Huawei 
X. Symantec 


welcome 


x 


FEAT Uni Eae Se STE, HAT MME. MOE? 点 此 下 载 证 书 

扣 果 您 使 用 的 是 USB Key 证 书 认证 ， 请 先 插 入 USB Key 再 访问 本 页 面 或 插入 USE Key 后 刷新 本 页 面 。 
登录 成 功 后， 你 将 会 看 到 之 前 所 配置 的 Web (EB. SCHERER. win Fe ACA 
络 扩展 服务 。 


Q Ce #27 @ NE 
| 















当前 用 户 ; TestUser 登录 时 间 : 2013-06-14 17:10:55 





welcome 


V Web 代理 

e Test Web Server 
yY 文件 共享 

Ta fileShareTest 
Y ”端口 转发 


点 击 按钮 启动 业务 后 可 以 访问 以 下 资源 。 


v PrE 


点 击 按钮 启动 业务 后 可 以 访问 内 网 资源 。 


点 击 Test Web Server; 另外 一 个 窗口 将 会 弹出 ,而 该 测试 服务 器 的 地 址 会 被 添 
加 上 SVN 设备 的 地 址 。 


B) https: // M10. 10. 1ü/webproxy/1/31504/8/http/www. test. com/ü-24 









RTRs EUR, SRIF SARA SRXABOCUEAUR. 


SHS ee 





fevm FARA D. Ra:htStart" Ja Am OAH, KWH telent 的 方式 登 
录 测 试 服务 器 。 验 证 端口 转发 结果 。 


FT mOFE 


PRMERADR EES. 





在 网 络 扩展 服务 下 局 动 网 络 扩展 服务 。 


由 ”正在 自动 网 络 扩展 服务 ， 请 稍 候 .…. 





局 动 过 后 ， 检 查 本 机 IP 地 址 ， 你 将 会 发 现 SVN M IP 地址 池 中 分 配 了 一 个 IP 
地 址 。 


MEER WINDOWS systemi? icad. exe 


Ethernet adapter AS Hie - 
Connection-specific DHE Suffix 
IP Address. . ..... = = = 。 。 = 18.16.16.9 


Subnet Mask . . . . . . « «= = = 。 : 255.8.8.8 
Default Gateway . : 


Ethernet adapter ER re 洛 寺 长 = 


Media State 。 。 。 。 。 。 « = = « 。 = Media disconnected 


Ethernet adapter SUM Adapter: 


Connection—svecific DHS Suffix 

IP fddress. . . . Sx 192.168.1.28 
Subnet Mask . . . . . . . . . . . * 255.255.255.0 
Default Gateway . 。 až a a =- 。 。 。 | 1923.168.1.20 


C:\Documents and Settings Administrator? 





12 UTM 实验 人 


12.1 UTM 病毒 库 、IPS 签名 库 升 级 


实验 目的 
熟练 掌握 通过 (CLI) BY (WEB) 在 USG 上 配置 IPs 签名 库 和 AV 病毒 库 定 时 在 线 升级 
功能 


1. ”通过 安全 服务 中 心 定时 在 线 升 级 USG 上 的 AV 病毒 库 、IPS 签名 库 ; 
2. ”配置 IPS 的 定时 在 线 升级 功能 开局 ， 升 级 时 间 为 每 天 02: 00; 
3. 配置 AV 的 定时 在 线 升级 功能 开局 ， 升 级 时 间 为 每 天 0100. 


组 网 设备 


1. USG2000/5000 防火 墙 一 台 (V3R1 版 本 ) ，PC 一 全 
2. 要求 防火 墙 能 够 连接 互联 网 


实验 拓扑 图 





UTMJ Ji 安全 服务 中 心 


USG ( 待 升级 签名 库 和 病 接口 号 : GigabitEthernet 0/0/0 
毒 库 设 备 ) IP 地 址 : 192.168.17.3/24 


安全 区 域 : Trust 


USG ( 待 升级 签名 库 和 病 下 一 跳 IP 地 址 : 192.168.17.254 
毒 库 设 备 ) 防火 墙 能 够 连接 互联 网 





实验 步骤 -CLI 
Step1 防火 墙 基础 配置 


在 防火 墙 上 配置 IP 地 址 ， 并 将 接口 加 入 安全 区 域 ; 配置 缺 省 路 由 。 配 置 略 。 
在 防火 墙 上 配置 策略 允许 与 安全 服务 中 心 的 通信 。 配 置 略 

Step 2 配置 运行 模式 为 UTM 模式 
<USG> system-view 


[USG] runmode utm 


à 
注意 : 切换 运行 模式 需要 重启 设备 后 才 生 效 。 请 根据 系统 提示 操作 , 推荐 选择 保存 
配置 后 重 局 。 


Step 3 配置 通过 安全 服务 中 心 升级 。 
配置 安全 服务 中 心 的 域名 。 


[USG] security server domain sec.huawei.com 
局 用 DNS 服务 器 的 域名 解析 功能 。 

[USG] dns resolve 

配置 DNS 服务 器 的 IP 地址 

[USG] dns server 61.139.2.69 


Step4 ME USG 定时 在 线 升级 。 


局 用 定时 在 线 升级 。 

[USG] update schedule ips enable 

[USG] uupdate schedule av enable 

配置 IPs A AV 的 每 天 定时 在 线 升级 的 时 间 
[USG] update schedule ips daily 02: 00 
[USG] update schedule AV daily 01: 00 
Fe SEMA Sta PEE BILAN 

[USG] update apply ips 


实验 步骤 — Web 
Step 1 开启 UM thats 进入 web 管理 界面 一 >UTM-> 基 本 配置 -> 基本 配置 。 在 启用 
前 边 打 由 V. Mah "DERI 


UTM 功 能 v EF 


Vos BAUMAR AAHH Licenset A (SBR. uae. URL 
ER AP ae at] eo 





Step2 配置 安全 服务 中 心 。 选 择 “ 系 统 > 维护 > 升级 中 心 ”。 不 选中 “内 网 升级 ” 
对 应 的 “开局 ”。 在 “安全 服务 中 心 域名 ”中 ， 输 入 需 配置 的 安全 服务 中 心 的 
域名 sec.huawei.com. 


i RAO 维护 升级 中 心 > 


HHE 开启 

安全 服务 中 心 域名 sec.huawei.com 

激活 码 LE pie ep O ERA SER VPE 
gPatj-lodZE3LT7FPXxZOsotwJKfr al y FA | 
VISVo8vtQ2I8DVdzL üHFxwaAga.! 
ES 7r5mPr/dS5dolB8Ub-hronznmw/h 


59-vQpOoM9UMpW2VT1HX1KTE 
XMYIAjgsQeNtZK8uHsDx2iwDTj2. (| 





Step 3 添加 DNS 服务器。 选择 “网 络 > DNS > DNS”。 在 SS 服务 器 列表 ”的 文本 
框 中 输入 DNS 服务 器 的 IP 地 址 。 单 击 “ 添 加 ”。 


LEM > DNS > DNS > 


38 mu FORE || 61. 139, 2. 69 ERE 


IP (^y 


51.1382 58 


服务 器 列表 A 
> 





Step 4 配置 USG 定时 在 线 升级 。 ARRA > 维护 > 升级 中 心 ”。 选择 “ 反 病毒 ” 
或 “入 侵 防御 ”。 在 定时 在 线 升级 前 兰 ，。 输入 每 日 升级 时 间 , 点 击 “ 应 用 ”。 











EAR à — 
vi 定时 在 线 升 级 | XihfptbTH | 
= 每 日 02-00 * 
在 线 升级 一 入 
vi ERT ESTEE Fahre 
») gH 01:00|* 
my oe 
实验 结果 


实验 结果 : (CLI 方式 ) 
1) ， 执 行 命 令 display update configuration ， 查 看 内 网 升级 的 相关 信息 。 


<USG2200>display update configuration 
11:04:44 2013/06/09 


Internal update mode : Disable 
Internal update server D- 

Internal update port D- 

IPS 


Application confirmation : Disable 


Schedule update : Enable 

Schedule update frequency : Daily 

Schedule update time : 02:00 X 
AV ; 

Schedule update : Enable 


Schedule update frequency : Daily 
Schedule update time : 01:00 


2), AT S display ips version 和 display av versions 可 查看 升级 后 的 签名 库 
或 病毒 库 的 版 本 。 如 果 升 级 后 的 版 本 符合 要 求 ， 表 明 升 级 成 功 。 

<USG2200> display ips version 

11:05:57 2013/06/09 


Current version : 


Version number : 20130606.01 1 
Engine version : 4.5.6.37 

Engine size : 5757574 bytes 
Signature database version : 20130606.011 
Signature database size : 696352 bytes 

Update time : 09:00:32 2013/06/09 


Issue time of the update file : 07:44:08 2013/06/06 


Backup version : 


Version number : 20130522.011 
Engine version : 4.5.6.37 

Engine size : 5757574 bytes 
Signature database version : 20130522.011 
Signature database size : 695019 bytes 

Update time : 17:01:57 2013/06/08 


Issue time of the update file : 04:49:34 2013/05/22 


Factory default version : 
Version number : 0.000 
Engine version : 0.0.0.0 
Engine size : 0 bytes 


oignature database version : 0.000 

oignature database size : 0 bytes 

Update time : 00:00:00 0000/00/00 
Issue time of the update file : 00:00:00 0000/00/00 


<USG2200>display av version 
11:06:56 2013/06/09 


==================Update information ist===============- f- 
Current version : 
Version number : 20130608.009 
Engine version : 1.1.1.4 
Engine size : 4106904 bytes 
oignature database version : 20130608.009 
oignature database size : 111325927 bytes 
Update time : 08:48:44 2013/06/09 


Issue time of the update file : 16:29:53 2013/06/08 


Backup version : 


Version number : 20130527.004 
Engine version a eT era 

Engine size : 4106904 bytes 
oignature database version : 20130527.004 
oignature database size : 111538965 bytes 
Update time : 17:45:41 2013/06/08 


Issue time of the update file : 09:57:49 2013/05/27 


Factory default version : 


Version number : 0.000 
Engine-version : 0.0.0.0 

Engine size : 0 bytes 

oignature database version : 0.000 

Signature database size : 0 bytes 

Update time : 00:00:00 0000/00/00 


Issue time of the update file : 00:00:00 0000/00/00 


实验 结果 : (WEB 方式 ) 
查看 反 病 毒 版 本 信息 


| EXE 20130606.011 
引擎 瞩 本 : 45637 
引擎 大 小 : 5757574 bytes 


等 所 库 版 本 : 20130606.011 

ee Eh: 596352 bytes 

升级 时 间 : 09:00:32 2013/06/09 

HRS (ATA: 07:44:08 2013/06/06 
hist [ep 





查看 入 侵 防御 版 本 信息 


版 本 号: 20130608.009 
5 | SE hs : $143 
g|Sg xu) 4106904 bytes 


签名 库 版 本 : 20130608.009 
a mi ad 111325927 bytes 
TIERRA [Bl : 08:48:44 2013/06/09 
Frees AE AAT IBI : 16:29:53 2013/06/08 





hie [e DE: 


12.2 UTM 入 侵 防 御 实 验 
实验 目的 


使 用 (CLI) 或 (WEB) £EUSG 上 配置 IPS 功能 ， 保 护 企 业内 部 网 络 的 PC 和 HTTP 服 
务 器 避免 受到 来 自 Internet 的 政 击 。 


组 网 设备 


1. USG2000/5000 防火 墙 一 台 (V3R1 版 本 ) ，PC 一 台 
2. 要 求 防火 墙 能 够 访问 互联 网 


实验 拓扑 图 


Trust UTMS X 55 Untrust 


















G0/0/1 
8192.168.17.3/24 


GO/O/O. m 
10.0.0.1/24 IH 





Ethernet2/0/0 , 
10.0.10.1/24 HTTP Server 


X 


内 部 网 络 


HTTP Server 





DMZ 


实验 步骤 -CLI 
Step 1 配置 运行 模式 为 UTM 模式 。 
<USG> system-view 
[USG] runmode utm 


注意 : MRZITE DRAMA EM. AIRRA ERRE, TERIA RGA 
置 后 重启。 


Step 2 配置 USG 的 基本 配置 (BE). 


需要 注意 ， 为 使 防火 墙 能 够 接 灵 互联 网 ， 需 要 配置 缺 省 路 由 ， 下 一 跳 地 址 为 Internet 
上 与 USG 直接 相连 的 路 由 器 接骨 的 IP 地 址 。 
[USG] ip route-static 0.0.0.0 0 192.168.17.254 
Step3 启用 IPS 功能 , HMA IPS 的 工作 模式 为 protective 使 阻 断 啊 应 生效 。 


[USG] ips enable 
[USG] ips mode protective 
配置 JPs 策略 保护 内 部 网 络 的 HTTP 服务 器 。 
a. 创建 PS 策略。 创建 IPS 策略 protecthttp。 
[USG] ips policy protecthttp 
bw 在 IPS 策 略 中 创建 预定 义 签 名 的 签名 集 , 并 配置 签名 集 的 启用 状态 和 啊 应 方式 。 
创建 签名 和 集 abc. 
[USG-ips-policy-protecthttp] signature-set abc 
配置 将 方向 为 to-server 的 签名 加 入 签名 集中 。 
[USG-ips-policy-protecthttp-signset-abc] direction enable 


[USG-ips-policy-protecthttp-signset-abc] direction to-server 
配置 将 严重 性 大 于 等 于 critical 的 签名 加 入 签名 集中 。 
[USG-ips-policy-protecthttp-signset-abc] severity enable 
[USG-ips-policy-protecthttp-signset-abc] severity above critical 
配置 将 协议 为 HTTP. 的 签名 加 入 签名 集中 。 
[USG-ips-policy-protecthttp-signset-abc] protocol enable 
[USG-ips-policy-protecthttp-signset-abc] protocol http 

局 用 签名 集 ， 并 配置 啊 应 方式 为 block。 
[USG-ips-policy-protecthttp-signset-abc] signature-set enable 
[USG-ips-policy-protecthttp-signset-abc] signature-set action block 
[USG-ips-policy-protecthttp-signset-abc] return 


Step 4 MA IPS 策略 保护 内 部 网 络 PC。 创 建 1PS 策略 protectpo, 4k IPS 策略 中 引 
入 default 策略 模板 。 


<USG> system-view 
[USG] ips policy protectpc copy-from template default 
[USG-ips-policy-protectpc] quit 


Step5 应 用 IPS 策略 。 


把 IPS 策略 protecthttp 应 用 在 DMZ Al Untrust 域 间 的 Inbound 方向 。 

[USG] policy interzone dmz untrust inbound 
[USG-policy-interzone-dmz-untrust-inbound] policy O 
[USG-policy-interzone-dmz-untrust-inbound-0] policy service service-set http 
[USG-policy-interzone-dmz-untrust-inbound-0] policy destination 10.0.10.0 
0.0.0.255 

[USG-policy-interzone-dmz-untrust-inbound-0] action permit 
[USG-policy-interzone-dmz-untrust-inbound-0] policy ips protecthttp 
[USG-policy-interzone-dmz-untrust-inbound-0] return 

把 IPS 策略 protectpc 应 用 在 Trust 和 Untrust 域 间 的 Outbound 75 [8] 

<USG> system-view 

[USG] policy-interzone trust untrust outbound 
[USG-policy-interzone-trust-untrust-outbound] policy 1 
[USG-policy-interzone-trust-untrust-outbound-1] policy service service-set http 
[USG-policy-interzone-trust-untrust-outbound-1] policy source 10.0.0.0 0.0.0.255 
[USG-policy-interzone-trust-untrust-outbound-1] action permit 
[USG-policy-interzone-trust-untrust-outbound-1] policy ips protectpc 


实验 步骤 - Web 
Step 1 完成 防火 墙 基础 配置 (HR) 


Step 2 配置 运行 模式 为 UTM 模式 。 选择 “UTM > 基本 配置 > 基本 配置 ”。 选中 “局 
a)’ o 单 击 “应 用 ”。 选择 “保存 配置 并 重 局 ”或 “直接 重启 ”， 单 击 “ 确 


r3 
o 


推荐 选择 “保存 配置 并 重 局 ， 先 保存 配置 再 重 局 设备 ， 否 则 设备 重 局 后 ， 未 保存 的 
配置 信息 将 丢失 。 
© UM> BARE > 基本 配置 > 


Sos SAUTMHARIAMAYLicenselt, ABa RR e URLIS 
EERE SED Tt Et FR 2 





Step 3 配置 静态 路 由 ， 下 一 跳 为 Internet 上 与 USC sip oma 地 址 。 
选择 “路 由 > 静态 > 静态 路 由 ”。 选择 “新 建 ”。 输入 BTML. BH 
“ Ry FA” : 


LES AN SENI M 


新 建 静态 路 由 A 
目的 地 址 j 


Q 
a8 0.0 AN 
下 一 中 192 168 Wh 254 | 下 一 跳 和 接口 不 能 同时 为 空 
接口 — NoNEÍ- ^ N 
IP Link& — NONE N 
ere 





Step 4 开启 IPS 功能 ， 并 配置 IPS 模式 。 选 择 “UTM > 入 侵 防御 > 策略 ”。 dE "B 
置 全 局 参数 ”区 域 框 中 ， 配 置 参 数 如 下 : 


1. ”入侵 防 御 功 能 开关 : 启用 

2. ”工作 模式 : 防护 模式 

3. 特权 策略 : NONE 

4. Ah “AY FR 
i UTM » ABCA » 策略 > 
ER 
RESHEÉR C 


TERR HT v ERI 
工作 模式 防护 模式 
Fei — NONE — 





Step5 配置 IPS 策略 保护 内 网 网 络 的 HTTP 服务 器 


创建 IPS 策略 protecthttp。 选择 “UTM > 入 侵 防 御 > 策略 ”。 单 击 “ 新 建 ” ， 
指定 策略 的 名 称 为 protecthttp。 单 击 “ 应 用 ”。 


if UTM > ABER > 策略 > 


IP SERE 策略 模板 


a A teh ei 


protecthttp 
IPS policy 


Ekini | 一 无 一 


CREAM BAS bohm Hl 。 








在 策略 中 创建 签名 集 , ERU A0 AMER. GEES TR 
区 域 中 单 击 “ 新 建 ”。 在 “新 建 签名 集 ” 中 配置 参数 。 单 韦 交 应 用 ”。 


v| 启用 ETE 任意 六 向 
v| 启用 大 于 等 于 [v] | 
启用 
v| 启用 
可 选 
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ICMP 

IGMP 
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IRC 
KERREROS £ 











应 用 IPS 策略 。 选择 “防火墙 > 安全 策略 > 转发 策略 ”。 在 “转发 策略 列表 ” 
中 单 击 5; 新建 ”依次 选择 或 输入 相应 参数 。 单 击 “ 应 用 ”。 


We 防火 墙 、 SSeS 转发 策略 、 


H E oe A 


eS Kis untrust 

目的 安全 区 域 dmz 

源 地 址 请 选择 或 输入 IP 地 址 

目的 地 址 10.0.10.0/24 
请 选择 或 输 六 用 户 或 用 户 组 
请 选择 服务 


all 


回国 国 国 
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ZA 
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oF 


| 
| 


Bu 


IPS 
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Step 6 配置 IPS 策略 保护 内 部 网 络 PC. 


创建 IPS 策略 protectpc， 在 IPS 策略 中 引入 default 策略 模板 。 选 择 “UTM > Ade 
防御 > 策略”。 单 击 “ 新 建 ”， 指 定 策略 的 名 称 为 protectpc。 人 在 同步 策略 / 策 
略 模板 中 ， 选 择 “default”， 单 击 “ 应 用 ”。 


" UTM > ABTA > HR > 
IPS 第 略 模 板 
HEA RAR 
protectpc 


IPS policy 


[eres angie | default 


ORERM ABS} ait BH e 





应 用 PS 策略 。 选择 "防火墙 > 安全 策略 > 转发 策略 . 在 “转发 策略 列表 
中 单 击 “ 新 建 ”。 依 次 选择 或 输入 相应 参数 。 单 击 “ 应 用 o 


EET ID D 


HES EN 


瘟 安 全 区 域 trust 

目的 安全 医 域 untrust 

aut 10.0.0.0/24 

目的 地 址 请 选择 或 输入 IP 地 址 
请 选择 或 输入 用 户 或 用 户 组 
请 选择 服务 


all 
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实验 结果 : CL 和 WEB 


1. Internet 上 的 恶意 用 户 向 内 网 HTTP 服务 器 发 起 严重 级 别 以 上 的 HTTP 攻击 时 , 
连接 被 阻 断 。 

2. ” 当 内 网 用 户 试 图 访问 符合 default 模板 中 定义 攻击 特征 的 恶意 网 站 时 ， 连 接 被 阻 
ENT o 


12.3 UTM AV 防 病毒 实验 


实验 目的 


使 用 (CL) 或 (WEB) Æ USG 上 配置 AV 功能 , 保护 企业 内 部 用 户 访 问 Internet 
上 的 网 页 和 FTP 服务 器 时 不 受 病毒 感染 。 


组 网 设备 


1. USC2000 或 USG5000 防火 墙 一 台 (V3RI 版 本 ) , PC 一 合 
2. BOK Bak RARE SP EE ELE XI 


实验 拓扑 图 


Trust UTM 防 火场 Untrust 


GO/0/0 mms G0/0/1 
2:8192.168.17.3/24 





HTTP Server 


x 


PC 
10.0.0.100/24 


实验 步骤 -CLI 
Step 1 配置 运行 模式 为 UTM 模式 。 


<USG> system-view 
[USG] runmode utm 


切换 运行 模式 需要 重启 设备 后 才 生 效 。 请 根据 系统 提示 操作 , 推荐 选择 保存 配置 后 
重启 。 


Step 2 完成 USG 基本 配置 ( 略 )。 


需要 注意 , 为 使 防火 墙 能 够 接 入 互联 网 ,需要 配置 缺 省 路 由 ,下 一 跳 地 址 为 Internet 
上 与 USG 直接 相连 的 路 由 器 接口 的 IP 地 址 。 


[USG] ip route-static 0.0.0.0 0 192.168.17.254 
Step3 配置 AV 全 局 参数 。 


[USG] av enable 
[USG] av scan-level 2 
[USG] av max-decompress-layer 10 


Step 4 创建 AV 策略 并 配置 AV 策略 的 公共 部 分 。 


[USG] av policy policy1 
[USG-av-policy-policy1] description http and ftp server 
[USG-av-policy-policy1] password-protected-file action permit 
[USG-av-policy-policy1] deep-compressed-file action permit 
[USG-av-policy-policy1] malformed-file action permit 
[USG-av-policy-policy1] large-file action permit 

Step 5 di gb HTTP 协议 文件 的 AV 策略 
[USG-av-policy-policy1] undo smtp enable 
[USG-av-policy-policy1] undo pop3 enable 
[USG-av-policy-policy1] http action block 
[USG-av-policy-policy1] undo http upload enable 


[USG-av-policy-policy1] http web-push-notification find-virus 
[USG-av-policy-policy1] http scan-mode intelliscan 

[USG-av-policy-policy1] http enable 4 
[USG-av-policy-policy1] http max-file-size 10 

[USG-av-policy-policy1] http download enable 

[USG-av-policy-policy1] http resume-transfer enable 


Step 6 配置 对 FTP 协议 文件 的 AV 策略 


[USG-av-policy-policy1] ftp action block 

[USG-av-policy-policy1] ftp push-notification the file has security risks 
[USG-av-policy-policy1] ftp scan-mode intelliscan 
[USG-av-policy-policy1] ftp enable 

[USG-av-policy-policy1] ftp max-file-size 10 

[USG-av-policy-policy1] ftp upload enable 

[USG-av-policy-policy1] ftp download enable 

[USG-av-policy-policy1] ftp resume-transfer enable 
[USG-av-policy-policy1] quit 


Step 7 Ri Trust 和 Untrust 域 问 防火 墙 策略 并 应 用 AV 策略 ， 保 护 内 网 主机 不 受 病毒 
侵害 。 
[USG] policy interzone trust untrust outbound 
[USG-policy-interzone-trust-untrust-outbound] policy 5 
[USG-policy-interzone-trust-untrust-outbound-5] action permit 
[USG-policy-interzone-trust-untrust-outbound-5] policy source address-set 
internal 
[USG-policy-interzone-trust-untrust-outbound-5] policy av policy1 


实验 步骤 — Web 
Step 1 配置 接口 基本 参数 ( 略 )。 


Step 2 配置 静态 路 由 下 保证 网 络 连通 ， 防 火 墙 能 够 连接 互联 网 。 选 择 “ 路 由 > 静态 > 静 
态 路 由 ”。 在 * 殉 态 路 由 列表 ”中 , 单 击 “ 新 建 ” ,配置 下 一 跳 地 址 为 :192.168.17.254， 
单 击 4 Ny FR” ` 


SE E s dn HH 
目的 地 址 0 0 0 0 
fai 0 o 0 0 


Tk 192 1688 17 | 254) T—BMERWHEDCT- Bé [Sl] AS 


接口 —— NONE — 
IP Link& —— NONE — 
DLP 60 





Step 3 配置 运行 模式 为 UTM 模式 。 选 择 “UTM > 基本 配置 > 基本 配置 . 选中 “局 
动 o 单 击 “应 用 ”。 选择 “保存 配置 并 重启 ”或 “直接 重启 ”, 单 击 “ 确 定 ”。 


推荐 选择 “保存 配置 并 重 局 ， 爷 保存 配置 再 重 局 设备 ， 否 则 设备 重 局 后 ， 未 保存 C 
的 配置 信息 将 丢失 。 
EUEE- > BARE > 


UTM 功 能 v 启用 ”应 用 | 


敬 口 有 启用 UTM 功 能 并 且 有 相应 的 License 时 ， su EAS URLid 
源 和 垃圾 邮件 过 滤 功 能 才 可 以 使 用 。 





Step 4 MAAV 全 局 参数 。 选 择 “UTM > 及 病毒 > WW". 在 ww 配置 全 局 参数 ”区 
域 框 中 配置 全 局 参数 。 单 击 “ 应 用 ”。 


LE EN. SE M 
配置 全 局 参数 
AVIHRE 
ns { 
MAREE 10 <2-20> 层 
TERE] es 启用 


V 参与 安全 改善 计划 后 ， 设 备 可 以 在 线 收 集 您 所 在 的 网 络 的 安全 性 问题 ， 包括 病毒 以 及 攻击 的 
信息 ， 庆 些 信 息 将 不 送 冰 Huaw 昌 3y 抽 anigcsz 全 服务 中 心 ， 以 帮助 我 们 更 好 的 保护 元 的 网 络 。 


E 





Step 5 配置 AV 策略 。 选 择 “UTM > RAS > 策略 ”。 单 击 “新 建 ”。 在 “新 建 策 
HE" 界面 配置 名 称 Policy1。 单 击 “ 应 用 ”。 


i UTM > Roa SRS 
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Step 6 4 «HTTP 协议 配置 ”区 域 框 中 配置 各 参数 


HTTP H ih Be 


病毒 扫描 v^ 启用 

HTTP 苇 输 模式 wj 上传 vi Sh 

Ef oie v^ FIF 

性 输 体验 启用 

X FERT CPR 1 «1-20-MB 

康 件 扫描 方式 智能 扫描 指定 扩展 名 扫描 EE | 
响应 方式 告警 v | 
推送 内 容 


X 


Step 7 在 “FTP 协议 配置 ”区 域 框 中 配置 各 参数 。 


1. Æ “SMTP 协议 配置 ”区 域 框 中 取消 选中 “病毒 扫描 Wj 应 的 复 选 框 ， 关 
闭 SMTP 协议 的 病毒 扫 摘 开关 。 
2. ”在 “POP3 协议 配置 ”区 域 框 中 取消 选中 “病毒 扫 描 ”对 应 的 复 选 框 ， 关 
闭 POP3 协议 的 病毒 扫 摘 开关 。 
3. 单 击 “应 用 。 
FTP ib ist Bt rw 
病毒 扫描 v BRI 
FTP 苇 输 模式 v pfe v TE 
断 点 时 人 v 自用 
传输 体验 启用 
NC PER GT EBR 1 «1-20-MB 
交 件 扫描 方式 智能 扫描 e 指定 扩展 名 扫 指 FUE 
响应 方式 告警 M 
推送 内 容 | 


Step 8 应 用 


AV 策略 。 选 择 “ 防 火 墙 > 安全 策略 > 转发 策略 。 在 “转发 策略 列表 ” 


中 单 击 “新 建 % 。 依 次 选择 或 输入 相应 参数 。 单 击 “ 应 用 ”。 
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目的 地 址 请 选择 或 输入 IP 地 址 
请 选择 或 输入 用 户 或 用 户 组 
请 选择 服务 


* 


* 


kd 
|| [SE 


Ka 
NES 
c 


all 


z7 a (9 ca cal E] E 
m 
(a 


permit 


ajd 


Ès 


policy1 





当 用 户 访问 市 病毒 的 Web 页 面 有 时 ， 阻 断 连接 。 


实验 结果 : (CLI) 和 (WEB) 
1 
2. 4A AW FP 上 传 和 下 载 齐 病毒 的 文件 时 ， 阻 断 连 接 。 


华为 职业 认证 通过 者 权益 


通过 任 一 项 华为 职业 认证 ， 您 即 可 在 华为 在 线 学 习 网 站 (hjjp.VJecm?me.hnwawe/comWcD) 享有 如 下 特权 : 
e 1、 华 为 E-learning 课程 学 习 
o AS: 所 有 华为 职业 认证 E-Learning 课 程 ， 扩 展 您 在 其 他 技术 领域 的 技术 知识 
方式 : 请 提交 您 的 “华为 账号 ”和 注册 账号 的 “email 地 址 ”到 Learning@huawei.com FRIN 
华为 培训 教材 下 载 
AS: 华为 职业 认证 培训 教材 + 华为 产品 技术 培训 教材 ， 覆 盖 企 业 网 络 、 存 储 、 安 全 等 诸多 领域 
方式 : SREAGZAS TMS, NEA “ERMAR ， 在 具体 课程 页 面 即 可 下 载 教 屋 
华为 在 线 公开 课 ([LVC) 优 先 参 与 
AS: 企业 网 络 、UC&C、 安 全 、 存 储 等 诸多 领域 的 职业 认证 课程 ， 华 为 讲师 授课 痢 邢 班 人 数 有 限 
方式 : 开 班 计划 及 参与 方式 请 详 见 LVC 排 期 : 
http://support.huawei.com/learning/NavigationAction!createNavis*navi[id]e 16 
学 习 工 具 eNSP 
a eNSP (Enterprise Network Simulation Platform), 是 由 华为 提供 的 免费 的 、 可 扩展 的 、 图 形 化 网 络 仿 
真 工具 。 主 要 对 企业 网 路 由 器 和 交换 机 进行 硬件 模拟 ， 完 美 呈现 真实 而 和 鱼 宠 器 ; 同时 也 支持 大 型 网 络 
模拟 ， 让 大 家 在 没有 真实 设备 的 情况 下 也 能 够 进行 实验 测试 。 
另外 , 华为 建立 了 知识 分 享 平台 华为 认证 论坛 。 您 可 以 在 线 与 华为 技术 专家 交流 技术 ， 与 其 他 考生 分 享 考试 
经 验 ， 一 起 学 习 华 为 产品 技术 。_( http://support.huawei.com7Seemmunity/bbs/list 2247.html ) 
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